Modell-basiertes Return on Security Investment (RoSI) im IS- Management der Münchener Rückversicherung

Transkript

1 Modell-basiertes Return on Security Investment (RoSI) im IS- Management der Münchener Rückversicherung HANNES SCHMIDPETER TECHNISCHE UNIVERSITÄT MÜNCHEN 2005 Aufgabensteller Professor Dr. Dr. h.c. Manfred Broy Lehrstuhl für Software & Systems Engineering Betreuer Dr. Jan Jürjens

2

3 Erklärung Hiermit erkläre ich, Hannes Schmidpeter, diese Arbeit selbständig angefertigt und keine anderen als die angegebenen Hilfsmittel verwendet zu haben. Sachsenkam, den 7. August 2005

4

5 Kurzfassung Die zunehmende Abhängigkeit von IT-Infrastrukturen bei gleichzeitig steigenden Risiken, birgt für viele Unternehmen stetig wachsende potentielle Schäden, deren Vermeidung Aufgabe der jeweiligen Information Security (IS) Instanzen ist. Die Argumentationsgrundlage Für oder Wider einzelner Maßnahmen basiert derzeit meist nur auf rein qualitativer Ebene, eine Kosten-Nutzen-Abwägung findet mangels geeigneter Methodologie nicht statt. Vor diesem Hintergrund ist somit eine Methodik wünschenswert, welche den finanziellen Nutzen einer Investition aufzeigt. In der Betriebswirtschaftslehre existieren Kennzahlen, wie beispielsweise der Return on Investment (ROI), die eine derartige Grundlage liefern können. Die Übertragung dieser Modelle auf die IS-Problematik ist jedoch nicht trivial. In dieser Diplomarbeit wird ein State-of-the-Art der existierenden Ansätze vorgestellt, die eine Rentabilitätsrechnung nach Vorbild des ROI ermöglichen. Deren Analyse ergab jedoch, dass keines der erfassten Modelle dies tatsächlich zu leisten im Stande war, weshalb die vielversprechsten Ansätze für die Belange der MÜNCHENER RÜCKVERSICHERUNG weiterentwickelt wurden. Die verbesserten Methodiken werden im Anschluss an diese allgemeine Übersicht detailliert beschrieben und ihre Möglichkeiten erläutert.

6

7 Inhaltsverzeichnis 1 Einleitung Motivation Problemstellung und Vorgehen Begriffserläuterung: RoSI Ausgangssituation Rahmenbedingungen Besonderheiten der Münchener Rückversicherung Messung der Kosten für IS-Maßnahmen Messung der Sicherheit Erfassung der möglichen Schäden Risk Assessment-Möglichkeiten der Münchener Rückversicherung Vorbereitung Auswertung Verbesserungspotential State of the Art H.Federath - Erweiterung des Grundschutzhandbuches G.Geiger - Risikonutzen H.Cavusoglu et al. - Spieltheorie Symantec - INFORM Weiterverfolgte Ansätze Annual Loss Expectancy (ALE) - basiertes RoSI Vorgehen Vor- und Nachteile Studie: Projekt Security Monitoring Bewertung gemäß der Aufgabenstellung Ist eine Analyse der Sicherheit (bzw. der Gefährdung) IT-gestützter Betriebsabläufe möglich? Können IT-Risiken quantitativ bewertet werden? Ist das Verfahren für das IS-Management im Unternehmen durchführbar? Zusammenfassung und Ausblick I

8 Inhaltsverzeichnis 5 Extended Information Risk Scorecard (EIRS) Basis: Information Risk Scorecard (IRS) Was ist eine Extended Information Risk Scorecard (EIRS)? Vorgehen Qualitativer Teil der EIRS Erfassung der tatsächlichen Risikolevel durch die Scorecard Grundlagen der qualitativen EIRS Qualitativer Ist-Soll-Vergleich Festlegung der akzeptierten Risikolevel durch das Management Berechnung der qualitativen EIRS Ergebnis der qualitativen EIRS Quantitativer Teil der EIRS Quantitativer Ist-Soll-Vergleich Berechnung des Soll-Invests (100-x)%-Regel Erfassung des Ist-Investments Ergebnis der quantitativen EIRS RoSI - Die Kombination aus qualitativer und quantitativer EIRS Einbettung der EIRS in einen prozessorientierten Ablauf Vor und Nachteile Erste Evaluierung Bewertung gemäß der Aufgabenstellung Ist eine Analyse der Sicherheit (bzw. der Gefährdung) IT-gestützter Betriebsabläufe möglich? Können IT-Risiken quantitativ bewertet werden? Ist das Verfahren für das IS-Management im Unternehmen durchführbar? Zusammenfassung und Ausblick Aspect-Oriented Risk-Driven Development (AORDD) Methodik Grundlagen Was verbirgt sich hinter Aspektorientierung? (AO) Was ist ein Baysian Belief Network (BBN)? Ansatz von Siv Houmb Neuentwicklung des Bayesian Belief Network Anwendung des BBN Qualitative Vorarbeiten Quantitative Vorarbeiten Auswertung II

9 Inhaltsverzeichnis Gegenmaßnahmen Investitionsabwägung Vor- und Nachteile Beispiel: Intrusion Prevention System (IPS) Qualitative Vorarbeiten Quantitative Vorarbeiten Auswertung Gegenmaßnahmen Bewertung gemäß der Aufgabenstellung Ist eine Analyse der Sicherheit (bzw. der Gefährdung) IT-gestützter Betriebsabläufe möglich? Können IT-Risiken quantitativ bewertet werden? Ist das Verfahren für das IS-Management im Unternehmen durchführbar? Zusammenfassung und Ausblick Diskussion der Ergebnisse Inhaltliche Ergebnisse Zusammenführung der Ansätze Fazit A Ausgangssituation 99 A.1 Durchschnittswerte A.2 Abbildungen von RAT B ALE 103 C EIRS 105 C.1 Aspekte des Teilbereichs Control Weakness C.2 Abbildungen der prototypenhaft entwickelten EIRS D AORDD 121 E Glossar 123 Literatur 126 Index 129 III

10 Inhaltsverzeichnis IV

11 Abbildungsverzeichnis 2.1 Aktivitätsdiagramm des RAT-Kern-Prozesses Aktivitätsdiagramm der RAT-Teilaktivität: Identify Information Assets and Impact Aktivitätsdiagramm der RAT-Teilaktivität: Assess Threat Aktivitätsdiagramm der RAT-Teilaktivität: Assess Vulnerability Aktivitätsdiagramm der RAT-Teilaktivität: Select Control Aktivitätsdiagramm der RAT-Teilaktivität: Report Fiktive Sicherheitsarchitektur Aus der Sicherheitsarchitektur gefolgerter Angriffsweg mit Schwachstellen Aus dem Angriffsweg resultierender Angriffsbaum nach [WURSTER:2004] Schematischer Ablauf der ALE-Methode Influence Diagram von Soo Hoo Risikodiagramm mit den fünf Teilbereichen der EIRS Verbindung der Teiltechnologien BBN-Beispiel: elektronisches Codeschloss BBN-Beispiel: Realisierung des Codeschlosses in einer Umgebung der Fa. Hugin BBN-Beispiel: Rückschluss von den Ausgangswerten auf die Eingangswerte AORDD Framework Ursprüngliches BBN: Gesamtnetz Ursprüngliches BBN: Teilnetz CCEAL Ursprüngliches BBN: Teilnetz OSDL Ursprüngliches BBN: Teilnetz TL BBN-Neuentwurf: Gesamtnetz BBN-Neuentwurf: Subnetz Malicious Code (MC) BBN-Neuentwurf: Subnetz Intrusion (INT) BBN-Neuentwurf: Subnetz Information Gathering (IG) BBN-Neuentwurf: Subnetz Intrusion Attempt (IA) BBN-Neuentwurf: Subnetz Intrusion Success (IS) Geschäftsprozess Webbased Underwriting (fiktiv) V

12 Abbildungsverzeichnis 6.17 (Fiktive) Sicherheitsarchitektur mit bedrohten Netzverbindungen Strategische Verteilung der IPS in der (fiktiven) Sicherheitsarchitektur Strategische Verteilung der IPS in der (fiktiven) Sicherheitsarchitektur der Standorte A.1 RAT - Impact Assessment (Teil des Prozessschrittes Identify Information Assets and Impact) A.2 RAT - Impact Assessment (Teil der Prozessschritte Assess Threat und Assess Vulunerability) A.3 RAT - Control Selection (Teil der Prozessschritte Assess Threat und Select Controls) B.1 Prototypenhafte Umsetzung des ALE-Modells mit Rahmen- Methode C.1 Einbettung der EIRS in ein prozessorientiertes Vorgehen C.2 General-Bereich der EIRS C.3 Management-Bereich der EIRS C.4 Status of Arrangements-Bereich der EIRS C.5 Strengthening Controls-Bereich der EIRS C.6 Special Circumstances-Bereich der EIRS C.7 Business Impact-Bereich der EIRS C.8 Level of Threat-Bereich der EIRS C.9 Criticality-Bereich der EIRS C.10 Qualitative IRS-Bereich der EIRS C.11 Qualitative Summary & Hints-Bereich der EIRS C.12 Quantitative IRS-Bereich der EIRS C.13 Quantitative Summary & Hints-Bereich der EIRS C.14 Extended IRS-Bereich der EIRS VI

13 Tabellenverzeichnis 2.1 Schadensszenario eines Virenvorfalls BBN-Beispiel: Bedingte Wahrscheinlichkeiten Bedrohungskatalog für den Bereich WORM der Klasse MC Wahrscheinlichkeiten der MC-Input-Nodes für das IPS-Beispiel Wahrscheinlichkeiten des MC-Node WORM damage für das IPS-Beispiel A.1 Durchschnittswerte für Ausfallzeiten [VISION:2001] D.1 Wahrscheinlichkeiten des MC-Node MC damage für das IPS- Beispiel VII

14 1 Einleitung Die in den letzten Jahren bekannt gewordenen IT relevanten Sicherheitsvorfälle lassen ahnen, welche potentiellen Schäden für die Wirtschaft aber auch für private Haushalte durch derartige Ereignisse möglich sind. Diese Gefährdungen nehmen mit wachsender IT-Abhängigkeit mehr und mehr zu. So wurden 1993 für den Michelangelo Virus Schäden in Höhe von mehr als 1 Mio DM [STIEFENHOFER:2002] ermittelt, für den 1999 aufgetretenen Melissa Virus waren es allein in den USA schon geschätzte 400 Mio DM [STIEFENHOFER:2002]. Im Jahr 2000 verbreitete sich der Loveletter 1 Virus, und richtete Schäden in Milliardenhöhe [HEISE(1):2000] an. Doch nicht nur Viren verursachen Kosten; Angriffe auf Amazon.com, ebay.com und Yahoo.com (2000) lassen vermuten, dass mehr und mehr gezielte Attacken speziell auf börsennotierte Unternehmen stattfinden, um sich mit diesem Insider -Wissen2 Vorteile zu verschaffen. Vor diesem aggressiven Hintergrund erscheint es kaum verwunderlich, dass das Thema IT-Sicherheit zunehmend in den Vordergrund des öffentlichen Interesses rückt. Um dem Rechnung zu tragen, wurden seitens des Gesetzgebers Regelwerke geschaffen, welche für Unternehmen zur Orientierung (ISO 17999) dienen oder denen sie sich gar zu unterwerfen (Sarbanes Oxley Act, BASEL 2) haben. Dies führt dazu, Investitionen zur Vermeidung von IT-Sicherheitsvorfällen nicht mehr stiefmütterlich zu behandeln, sondern ihnen gesteigerte Aufmerksamkeit zukommen zu lassen, allerdings stehen die Unternehmen an dieser Stelle vor einem zentralen Problem: Welche Investition ist sinnvoll - welche nicht? An diesem Punkt setzten die bisherigen qualitativen Risiko-Analysen ein: Wo gibt es Schwachstellen und wie können diese geschlossen werden? Leider reicht dieser pragmatische Ansatz nicht aus, denn natürlich wollen Manager und Anleger nicht nur wissen, wie sich die Sicherheitslage eines Unternehmens entwickelt, sondern auch, ob sich diese Investitionen lohnen - die Idee des Return on Security Invest (RoSI) ist geboren. 1 Auch bekannt unter dem Namen:I love U Virus 2 Wann fällt der Kurs der Firma xyz? 1

15 1 Einleitung 1.1 Motivation Viele Fachleute vertreten die Meinung, dass ein Return einer Investition in Information Security (IS) nicht kalkulierbar ist. Folglich sind damit auch Aussagen über Amortisation und Amortisationszeit (ihrer Meinung nach) nicht möglich. Ungeachtet dessen ist es ein berechtigtes Anliegen (u.a.) seitens des Managements die Effekte der IS-Investitionen zu kennen, um darauf aufbauend auch über das Volumen und die künftigen Investitionsthemen zu entscheiden. Natürlich haben IS-Investitionen keinen unmittelbar direkten Einfluß auf den Umsatz eines Unternehmens, da sie nur zur Kostenkontrolle dienen. Auch eine Ausgabensenkung findet nicht statt, da zwar mit möglichen Einsparungen von Schäden kalkuliert werden kann, diese jedoch nicht als zuverlässig zu verbuchen sind. Folglich dienen IS-Investitionen lediglich der mit Unsicherheit behafteten Gefahrenkostenkontrolle. Unbestritten ist jedoch auch, dass diese Ausgaben sehr wohl Auswirkungen auf die Risikostruktur und das - volumen haben, womit es für jedes Unternehmen essenziell ist, diese Risiken zu minimieren, um damit letztlich die Kosten-/Nutzenbilanz zu optimieren. Darüber hinaus ergeben sich mittelbar Szenarien die die Fortführung eines bestehenden Geschäftsmodells (-prozesses) bzw. den Aufbau neuer Geschäftsprozesse erlauben. Diese werden sodann als Positiv-Effekt einer IS- Investition ins Feld geführt und können in diesem Sinne als Return verbucht werden. Da dieses Gebiet (RoSI - Return on Security Investment) bisher wissenschaftlich nur marginal bearbeitet wurde, zeigt diese Arbeit mögliche Wege auf wie Kosten- und Risikostrukturen für Investoren und Management auf der einen und für IS-Experten auf der anderen Seite transparent gemacht werden können. Erst eine praktische Anwendung der verschiedenen Modelle und die damit zu gewinnenden Erfahrungen können diese Arbeit jedoch zu einem endgültigen Abschluß führen. 1.2 Problemstellung und Vorgehen Die Aufgabenstellung geht von der Frage aus, welche Schäden (Art, Umfang und Häufigkeit) für die betriebsinternen Abläufe eines Unternehmens durch Computer- und Internetkriminalität entstehen können und in welchem Umfang 2

16 1.3 Begriffserläuterung: RoSI das Risiko solcher Schäden durch einen geeigneten finanziellen und technischen Sicherheitsaufwand gesenkt werden kann. Dabei wird das Hauptaugenmerk nicht auf die Ermittlung des aktuellen Sicherheitsstatus gerichtet, sondern es sollen praxisorientierte Methoden aufgezeigt werden, welche es erlauben eine Investitionsentscheidung in IS fundiert zu begründen und zu dokumentieren. Insbesondere soll dabei auf die Bedürfnisse des IS-Managements der Münchener Rückversicherung eingegangen werden, wobei die hier existierenden (ungewöhnlichen) Bedingungen (siehe Kapitel 2.1.1) die Suche nach einem geeigneten Verfahren erschweren. Die Grundlage für diese Arbeit war eine umfassende Recherche über alle öffentlich zugänglichen Artikel zur RoSI - Berechnung [BUDA:2005]. Von dieser Basis ausgehend wurden die existierenden Modelle ermittelt und bewertet. Die in dieser Evaluierungsphase gefundenen Methoden wurden dabei den folgenden Bewertungskriterien unterworfen: Ist eine Analyse der Sicherheit (bzw. Gefährdung) IT-gestützter Betriebsabläufe möglich? Können IT- Risiken quantitativ bewertet werden? Ist eine Umsetzbarkeit für das IS-Management gegeben? Da keines der festgestellten Modelle den Ansprüchen der Münchener Rückversicherung genügte, wurden die viel versprechensten Verfahren ausgewählt, besonders eingehend analysiert und anschließend überarbeitet. Die resultierenden Methoden sollen nun in diesem Papier vorgestellt und diskutiert werden. Zunächst ist es allerdings notwendig eine klare Vorstellung darüber zu vermitteln, was sich hinter der Kennzahl RoSI verbirgt. 1.3 Begriffserläuterung: RoSI Die Idee zum RoSI begründet sich auf der Renditekennzahl Return on Investment (ROI), welche die Ertragskraft einer Investition repräsentiert. Sie wird in der klassischen 3 Wirtschaft dazu verwendet, mögliche Investitionen gegeneinander zu vergleichen. Dieser Kerngedanke inspirierte zu der Begrifflichkeit des RoSI, wobei fest zu halten bleibt, dass, bis auf die Namensähnlichkeit und 3 Nicht unbedingt IT-abhängig. 3

17 1 Einleitung dem Grundgedanken, keine weiteren Gemeinsamkeiten existieren, da die Berechnungen sich grundlegend unterscheiden. Der Wunsch nach der RoSI-Kennzahl drückt das Bedürfnis der Wirtschaft aus, die Sinnhaftigkeit von Investitionen in IS auch quantitativ begründen zu können, was mit den bislang existierenden qualitativen Methoden, wie klassischen Risk-Assessments nicht möglich ist. Aus diesem Grund wurden von mehreren Seiten Modelle geschaffen, die eine derartige Berechnung erlauben. Die vorliegende Arbeit soll zunächst einen Überblick über die Ausgangssituation verschaffen, anschließend sollen ein Vergleich zwischen den Ansätzen gezogen und letztendlich mögliche Verbesserungen aufgezeigt werden. 4

18 2 Ausgangssituation Zu Beginn soll die Basis beschrieben werden, auf der diese Arbeit aufbaut. Die Rahmenbedingungen zeigen die verschiedenen Umstände, die bei einer RoSI- Berechnung im Allgemeinen und im Fall der Münchener Rückversicherung im Speziellen berücksichtigt werden müssen. 2.1 Rahmenbedingungen Besonderheiten der Münchener Rückversicherung Es gelten eine Reihe von Ausnahmen für die Münchener Rückversicherung (bzw. für die gesamte Rückversicherungsbranche). Der bedeutenste hier behandelte Punkt ist sicher das Missverhältniss zwischen hohem Umsatz und einer eher geringen Mitarbeiterzahl 1. Dieser Umstand macht es für Branchengrößen wie Symantec (siehe [SYMANTEC:2005] und Kapitel 3.4) schwer, einen RoSI für das Unternehmen zu berechnen, da in deren Verfahren benutzte, unternehmensübergreifende Durchschittswerte (siehe beispielsweise Tabelle A.1) die Ergebnisse deutlich verfälschen. Auch andere (qualitative) Risikoabschätzungen, die auf diesen Durchschnitten basieren, sind somit ebenfalls nicht oder nur schwer einsetzbar. Desweiteren werden Informationen über bestimmte Geschäfte, wie beispielsweise Risikoeinschätzungen von Versicherungspolicen oder Abschlußhöhen unter den verschiedenen Rückversicherungen mittels eines Brokers gehandelt oder getauscht, womit ein sehr wichtiger Faktor des potentiellen Schadens, der Verlust von Forschungs- und Geschäftsdaten, entfällt. Für ein produzierendes Unternehmen kann der Verlust von Forschungsergebnissen den Bankrott bedeuten. Für die Rückversicherungen entsteht bei einem gleichen Vorfall (fast) kein Schaden. 1 Im Vergleich zu anderen Gewerbebereichen 5

19 2 Ausgangssituation Messung der Kosten für IS-Maßnahmen Um eine RoSI-Berechnung durchführen zu können, ist es unabdingbar die Kosten der (Gegen-) Maßnahmen und damit den möglichen Investitionsrahmen ermitteln zu können. Den meisten Unternehmen gelingt es jedoch nicht einmal, die aktuellen Ausgaben für IS exakt zu beziffern, geschweige denn zukünftige (Betriebs-) Kosten abzuschätzen, was vor allem mit der strukturellen Überschneidung der IT-Bereiche zusammen hängt. Ein kleines Beispiel: Die Ausgabe für eine Firewall ist vermeintlich eindeutig als IS-Ausgabe zu kontieren. Wie steht es jedoch mit der Administration des Datei-Servers? Diese Ausgaben würden wohl unter den Posten Betriebskosten fallen, auch wenn es zu den Aufgaben des Sysops gehört aktuelle Patches einzuspielen, was (u.a.) auch eine Erhöhung der Sicherheit nach sich zieht. Sind diese Kosten nun tatsächlich unter Betriebskosten zu verbuchen? Die Bestandteile der IS-Ausgaben sind weder exakt, noch branchen- oder unternehmensübergreifend definiert, noch gegen andere Posten abgegrenzt, womit es zumeist nicht leicht fällt, diese genau zu beziffern. Liegt jedoch eine detaillierte und fein granulare Organisationsstruktur vor, in welcher festgelegt ist, welcher Bereich, welche Aufgaben, mit welchem Budget zu erfüllen hat und ist seitens des Managements ein unabhängiges Controlling eingesetzt, sollte es möglich sein die IS-Kosten zu ermitteln. (Nebeneffekt dieser Erfassung ist natürlich eine genaue Aufstellung der Verantwortlichkeiten.) Da Überschneidungen aber nie ganz eliminiert werden können, ist auch in diesem Fall eine exakte Berechnung nicht zu erreichen Messung der Sicherheit Die angesprochene Problematik der Verfälschung durch den Vorgang der Messung selbst wird detailliert in [YEE:2001] behandelt. An dieser Stelle soll nur kurz auf die dort geschilderten Probleme eingegangen werden, um ein Gefühl für die in diesem Bereich auftretenden Schwierigkeiten zu vermitteln. Um eine Einschätzung der Risikosituation zu erhalten wäre es von Vorteil eine Sicherheitsmessung durchzuführen. Der dazu derzeit populärste Ansatz, ist der so genannte Red-Team -Ansatz. Der Kerngedanke ist folgender: Ein engagiertes Team versucht die installierten Sicherheitsmaßnahmen zu überwinden. Die benötigten Ressourcen für diesen Angriff repräsentieren das Maß der Sicherheit. Sind die geschützten Informationen weniger wert als die aufzubringenden Ressourcen für den Angriff, wird keine Attacke erfolgen. 6

20 2.1 Rahmenbedingungen Soweit die Theorie. In der Praxis lässt sich dies aus mehreren Gründen nicht umsetzen: Kosten der Messung Wird dieser Gedanke in der Realität durchgeführt, so ist die Messung der Sicherheit genauso teuer wie ein Angriff. Sind die geschützten Informationen aber weniger wert als der Angriff, so steht diese Überprüfung in keinem Verhältnis zum Resultat. Verfälschung der Ergebnisse durch die Messung Geht man davon aus, dass sich der Gegenwert des Angriffs hauptsächlich aus Arbeitszeit zusammensetzt, so kann folgende Rechnung aufgestellt werden: Gesamtzeit = (a) SchwachstellenFindung + (b) ExploitEntwicklung + (c) ExploitAnwendung (2.1) Dabei gilt: a > b > c (2.2) Da nicht davon ausgegangen werden darf, dass gefundene Schwachstellen geheim gehalten werden können, verändert sich der Wert der Sicherheit durch die Messung. Ist eine Sicherheitslücke veröffentlicht, fällt der größte Summand (a) für einen zweiten (böswilligen) Angreifer weg, da für ihn keine Schwachstellen-Analyse mehr durchzuführen ist. Wird zudem der Exploit bekannt, ist (im Regelfall) kein spezielles Wissen mehr notwendig um einen Angriff durchführen zu können, was den kostenverursachenden Faktor Zeit auf ein Minimum (Anwendung des Exploits) drückt. Messung des Informationswertes Die Einschätzung des potentiellen Schadens 2 ist elementarer Bestandteil der Schlussfolgerungen, um die Motivation des Angreifers abschätzen zu können. Diese Bewertung ist jedoch alles andere als trivial und zudem auch für die RoSI-Methoden von weiterem Interesse, weshalb eine weitere Analyse in ein eigenes TeilKapitel ausgelagert (siehe Kapitel 2.1.4) wurde und damit des Wertes der geschützen Information 7

21 2 Ausgangssituation Quintessenz: Sicherheit kann nicht gemessen, sondern nur mit Hilfe von so genannten Risk-Assessments abgeschätzt werden. Dabei bleibt fest zu halten, dass sich diese bezüglich ihrer Qualität sehr stark unterscheiden. Einerseits existieren Verfahren die innerhalb kürzester Zeit ein Risikoprofil erstellen und dementsprechende Ungenauigkeiten aufweisen. Andererseits existieren Methoden die unter großem Einsatz von Ressourcen die notwendigen Daten sammeln, um eine möglichst präzise Einschätzung ermitteln zu können. Je nach Einsatzzweck ist abzuwägen, wie exakt die Abschätzung sein muss und welches Verfahren anzuwenden ist (siehe Kapitel 2.2) Erfassung der möglichen Schäden Für einige der nachfolgend vorgestellten Modelle zur Risikoeinschätzung, ist es notwendig die möglichen Schäden abzuschätzen. Diese werden, je nach Bedarf als Maximal- (Worst-Case) oder Durchschittsschaden angegeben. Die Ermittlung dieser Werte stellt jedoch einen komplexen Vorgang mit einigen Fehlerquellen dar. So werden zu Meist so genannte Schadenszenarien eingesetzt, um die Schadenshöhe zu bestimmen. Die Szenarien beschreiben dabei die Natur sowie den Umfang der potentiellen Vorfälle und deren Auswirkungen. Um Fehler und Versäumnisse zu vermeiden, sind dabei sowohl die potentiellen Vorfälle als auch deren Auswirkungen von mehreren Gutachtern zu bewerten. Exemplarisch für diese Problematik sei auf ein (fiktives) Beispiel für einen Verlust von Forschungsdaten durch einen Virenvorfall verwiesen (siehe Tabelle 2.1) Einige mögliche Verluste fehlen in diesem Szenario. So wurden beispielsweise keine Kosten aufgeführt, welche durch Datendiebstahl entstanden sind. Was auch für einen Virenvorfall keine konstruierte Möglichkeit ist, wie aus [SUEDDEUTSCHE(1):2005] hervorgeht. Ist es für kleine Start-Up- Unternehmen noch verhältnismäßig leicht, diese Kosten für den Worst-Case- Fall zu bestimmen (Konkurs 3 ), so fällt es für größere Organisationen (bedingt durch deren komplexe Finanzstruktur) schwerer, hier ebenfalls einen Konkurs für den Worst-Case anzusetzen ist in den meisten Fällen sicher nicht seriös, da dieses Szenario realitätsfremd zu sein scheint. Auch fehlen in dieser Aufstellung Kosten über einen eventuellen Wertverlust des Unternehmens, beispielsweise in Form eines Kurssturzes der Aktien. Diese Einbußen sind von Branche zu Branche und von Unternehmen zu Unter- 3 Damit sind die maximal möglichen Schäden dem Firmenwert gleichzusetzen. 8

22 2.2 Risk Assessment-Möglichkeiten der Münchener Rückversicherung möglicher Schaden Datenverlust (zwei Jahre Forschungsarbeit) Rekonstruktion der Ergebnisse (halbes Jahr) Kosten e Wiederherstellung Clients e Server e Zeitverlust Verschieben des Einführungstermins (halbes Jahr) e Erhöhung des Kreditrahmens (von e auf e ) Verlängerung der Kreditlaufzeit (1 Jahr) e Zusätzliche Kreditzinsen e Gesamtkosten e Tabelle 2.1: Schadensszenario eines Virenvorfalls nehmen individuell gestaffelt und können somit nur schwer durch Erfahrungswerte bestimmt werden 4. Diese Tatsachen führen zu der Schlussfolgerung, dass eine realistische Einschätzung der möglichen Schäden nur in bestimmten Fällen möglich sein wird, auch wenn sie individuell von mehreren Gutachtern bewertet und mit Unsicherheitsfaktoren belegt sind. 2.2 Risk Assessment-Möglichkeiten der Münchener Rückversicherung Qualitative IT-Sicherheitsanalysen waren und sind bislang das einzige Mittel um Gefahrenpotentiale zu analysieren und den aktuellen Sicherheitsstatus zu ermitteln. Die später detailliert beschriebenen Modelle zur Berechnung des RoSI setzen alle auf einer derartigen Analyse auf. Esin Verfahren (EIRS) integriert bereits eine rudimentäre Überprüfung. Fest zu halten bleibt, dass in 4 Vom mathematisch chaotischen Verhalten der Aktienkurse mal ganz abgesehen. 9

23 2 Ausgangssituation jedem Fall ein derartiger Schritt in der Vorbereitungsphase penibel durchzuführen ist, um das jeweilige Modell zur Berechnung des RoSI mit belegbaren Werten zu unterfüttern. Aus diesem Grund sollen in diesem Kapitel knapp die Grundzüge von Risk-Assessments, mit besonderem Augenmerk auf die Belange der Münchener Rückversicherung, geschildert werden um einen Einblick in die Materie zu vermitteln. Da dieser Aspekt nicht Hauptaugenmerk dieser Arbeit ist, sei an dieser Stelle auf weiterführende Literatur wie [BSI:2004],[BUSCH:2005], [MR:2004] und [STIEFENHOFER:2002] verwiesen. Die Münchener Rückversicherung bedient sich verschiedener qualitativer Werkzeuge, um zu einem umfassenden Bild des aktuellen Gefährdungs- Status zu kommen. Hier sind zunächst die Arbeiten der Abteilung CoC Security, Toronto (MunichRe Group) zu nennen, welche (u.a.) den Auftrag hat, derartige IS-Analysen durchzuführen. Dazu zählen beispielsweise: Überprüfung der Passwort-Policies Penetration Tests Intrusion Detection Forensics Die resultierenden Daten dienen als Grundstock für eine fundierte Aussage über die aktuelle Risikosituation, welche in regelmäßigen, internen Sicherheitsberichten dokumentiert wird. Desweiteren verfügt die Münchener Rückversicherung über RAT (siehe [MR:2004]) ein Risk Assessment Tool. Dieses kann dazu eingesetzt werden, Risiken eines beliebigen Teiles eines Geschäftsprozesses zu analysieren, wobei RAT die Methodik zur Verfügung stellt, qualitative Risiken des Vorgangs abzuschätzen. Mögliche (aktuelle) Bedrohungen werden in einer Tabelle gespeichert, sind jedoch vom Benutzer vorzugeben und einzupflegen. Das Tool selbst präsentiert eine Art Fragebogen, der qualitative Einschätzungen des Nutzers, beispielsweise in der Form hoch, mittel, niedrig zulässt. Diese werden am Ende mittels einer Matrix miteinander verknüpft und zu einer Gesamtsituation ausgewertet. Die Verknüpfung ist dabei festverdrahtet und stellt somit die Intelligenz des Systems dar. Die Basis der Analyse bildet der so genannte Assessment Process (siehe Abbildung 2.1). Dieser ermöglicht eine strukturierte Vorgehensweise, welche sich auch im Tool wiederspiegelt. So sind sowohl Prozess als auch Tool in drei vorbereitende und drei auswertende Teilbereiche untergliedert: 10

24 2.2 Risk Assessment-Möglichkeiten der Münchener Rückversicherung Abbildung 2.1: Aktivitätsdiagramm des RAT-Kern-Prozesses Vorbereitung Identify Information Assets and Impact (siehe Abbildung 2.2) Im ersten Schritt sind alle Kerninformationen mit den (Geschäfts- und Daten-) Verantwortlichen zu ermitteln. Diese Informationen repräsentieren das gewinnbringende Herz der Münchener Rückversicherung und sind deshalb besonders zu schützen. Im nächsten Schritt sind diese Informationen in Gefahren-Klassen einzuteilen, für welche anschließend mögliche Auswirkungen im Schadensfall festgelegt werden. Dabei ist diese Einteilung qualitativ in der Form High, Medium und Low anzugeben. Diese Informationen werden im Tool hinterlegt. Abbildung 2.2: Aktivitätsdiagramm der RAT-Teilaktivität: Identify Information Assets and Impact 11

25 2 Ausgangssituation Assess Threat (siehe Abbildung 2.3) Im zweiten Schritt werden Bedrohungsszenarien identifiziert und für diese eine Wahrscheinlichkeit angegeben. Dies erfolgt jedoch ebenfalls in den drei oben genannten qualitativen Stufen 5 und basiert sowohl auf Abschätzungen, als auch auf historischen Daten. Diese Szenarien werden unabhängig vom ersten Schritt ermittelt und die resultierenden Werte ebenfalls im Tool hinterlegt. Abbildung 2.3: Aktivitätsdiagramm der RAT-Teilaktivität: Assess Threat Assess Vulnerability (siehe Abbildung 2.4) In diesem letzten Vorbereitungsschritt werden potentielle Schwachstellen ermittelt. Anschließend werden die möglichen Auswirkungen relativ zu den zuvor ermittelten Information Assets und Threats bewertet. Auch diese Informationen werden im Tool hinterlegt. Abbildung 2.4: Aktivitätsdiagramm der RAT-Teilaktivität: Assess Vulnerability Auswertung Assess Risk Nun werden die obigen Informationen im Tool verarbeitet und für jede Kerninformation das resultierende Risiko ermittelt. Dazu sind alle Bedrohungen, die diese Informationen betreffen und alle Schwachstellen zu berücksichtigen und nicht in diskreten Wahrscheinlichkeiten 12

26 2.2 Risk Assessment-Möglichkeiten der Münchener Rückversicherung Select Control (siehe Abbildung 2.5) Im zweiten Schritt werden durchzuführende Gegenmaßnahmen selektiert, diese reduzieren das jeweilige Risiko für die Kerninformationen. Zusätzlich sollen Implementationsvorschläge erarbeitet werden; das dazu notwendige Know How ist von einem Spezialisten einzuholen. Abbildung 2.5: Aktivitätsdiagramm der RAT-Teilaktivität: Select Control Report (siehe Abbildung 2.6) Letztendlich werden die Arbeitsschritte in einem finalen Report für die Geschäftsführung, das IT-Management und das IS-Office zusammengefasst und dokumentiert. Das Tool liefert hierzu die Rohdaten. Abbildung 2.6: Aktivitätsdiagramm der RAT-Teilaktivität: Report Somit liegt der Münchener Rückversicherung am Ende dieses Prozesses eine Risikoanalyse inklusive Handlungsempfehlungen vor Verbesserungspotential Mögliche Schwachstellen dieses Prozesses sind die vorbereitenden Schritte. Wird hier ein Detail von den Analysten übersehen, wirkt sich dies eklatant auf die resultierende Dokumentation der Risikosituation aus. Deshalb seien hier kurz einige Punkte genannt, die helfen derartige Fehler zu vermeiden. 13

27 2 Ausgangssituation Identify Information Assets and Impact In der Identifikationphase der Kerninformationen (bzw. -technologien) ist ein Verfahren anzuraten wie es auch von Martin Busch [BUSCH:2005] in seiner Diplomarbeit propagiert wird. Dabei werden nicht nur die Information- und Business- Owner befragt, sondern darüber hinaus die im Unternehmen festgelegten Geschäftsprozesse zu Grunde gelegt. Liegen diese in einer einheitlichen Notation (z.b. UML) vor, ist es ein Leichtes diese hinsichtlich der verwendeten Technologien/Informationen auszuwerten. Dies stellt sicher, dass alle relevanten und potentiell gefährdeten Ressourcen in dieser Phase ermittelt werden. Assess Threat Bedrohungsszenarien unterliegen ähnlichen Fehlerquellen wie Schadensszenarien (siehe Kapitel 2.1.4). Um diese seriös zu ermitteln ist es notwendig alle möglichen Gegner zu benennen. Auf dieser Basis aufbauend können nun derartige Szenarien erstellt werden. Es ist unbedingt erforderlich die Gegenerliste beständig aktuell zu halten und zu überprüfen, da sich bei einer geringfügigen Modifikation der Realität auch die resultierenden Risiken dynamisch ändern. Assess Vulnerability Die Schwachstellenanalyse sollte auf einer gut dokumentierten, aktuellen schematischen Darstellung der Sicherheitsarchitekturen (siehe Abbildung 2.7) basieren. Diese enthält sowohl alle internen als auch externen Schnittstellen, so dass ein möglicher Angriffsweg (inkl. möglicher Schwachstellen) aufgezeigt werden kann (siehe Abbildung 2.8). Auf dieser Basis können nun optimalerweise Angriffsbäume erstellt werden (siehe Abbildung 2.9), für welche bereits Modelle existieren (siehe [WURSTER:2004]), die einen effizienten Entwurf und die Auswertung dieser Bäume unterstützen. Die nicht unerheblichen Kosten dieser Analysearbeit können dadruch gesenkt werden. Diese Verbesserungsvorschläge wurden hier nur sehr rudimentär beschrieben, da eine ausführlichere Behandlung dieses Themas den Rahmen dieser Arbeit sprengen würde. 14

28 2.2 Risk Assessment-Möglichkeiten der Münchener Rückversicherung Abbildung 2.7: Fiktive Sicherheitsarchitektur 15

29 2 Ausgangssituation PAC = Privileged Account Compromise Abbildung 2.8: Aus der Sicherheitsarchitektur gefolgerter Angriffsweg mit Schwachstellen 16

30 2.2 Risk Assessment-Möglichkeiten der Münchener Rückversicherung Z S K = Zeit = Skill = Kosten Abbildung 2.9: Aus dem Angriffsweg resultierender Angriffsbaum nach [WURSTER:2004] 17

31 2 Ausgangssituation 18

32 3 State of the Art In der vorangegangenen Arbeit von Lydia Buda [BUDA:2005] wurden etwa 150 Artikel recherchiert und zu einem State of the Art zusammengefasst. Aus dieser Liste wurden im Rahmen dieser Diplomarbeit die existierenden Modelle extrahiert und bewertet. Dabei war erstaunlich, dass bei einer derartigen Menge von gefundenem Material die Anzahl der Methoden relativ gering war: Kevin J. Soo Hoo, Huaqiang Wei - ALE [SOOHOO:2000] [WEI:2001] Dirk C. Loomans - IRS [LOOMANS:2004] Huseyin Cavusoglu - Spieltheorie [CAVUSOGLU:2004] Die große Diskrepanz zwischen gefundenen Artikeln und angesprochenen Methoden zeigt sehr deutlich, dass ein hoher Bedarf an einer universell verwendbaren Methode existiert, diese aber bislang noch nicht gefunden wurde. Im weiteren Verlauf der Recherchephase dieser Arbeit kamen noch vier weitere Modelle hinzu: Symantec - INFORM (komerziell) [SYMANTEC:2005] Hannes Federath - [FEDERATH:2004] Erweiterung des Grundschutzhandbuches Siv H. Houmb - AORDD [HOUMB:2004] Gebhard Geiger - Risikonutzen [GEIGER:2004] So waren schlussendlich sieben Methoden gegeneinander abzuwägen. Aus diesem Pool wurden drei Methoden extrahiert 1, welche in dieser Arbeit weiterverfolgt wurden (siehe Kapitel 4, 5 und 6). Als Grundlage dieser Evaluierung dienten die Bewertungsgrundsätze der Problemstellung (siehe Kapitel 1.2). An dieser Stelle sollen die nicht weiter berücksichtigten Ansätze analysiert und beschrieben werden. 1 ALE, IRS, AORDD 19

33 3 State of the Art 3.1 H.Federath - Erweiterung des Grundschutzhandbuches (siehe [FEDERATH:2004]) Die von Hannes Federath vorgeschlagene Methode zur Berechnung des RoSI ist kein eigenständiges Modell, sondern kombiniert bereits bestehende Verfahren. Seine Empfehlungen zur Verbesserung sollen dabei Ansätze für weitere Forschungsarbeiten darstellen. Eine aufwandsorientierte RoSI-Berechnung ist der Aufhängepunkt des Ansatzes (d.h. für unwichtige Systeme soll keine, für wichtige Systeme soll eine rudimentäre und für existentielle Systeme soll eine umfassende RoSI-Analyse erfolgen). In einem ersten Schritt sollen die untersuchten IT-Systeme daher anhand ihres tatsächlichen Sicherheitsbedarfs in drei Klassen aufgeteilt werden. Für jede dieser Klassen werden im Anschluß eigene Methoden zur Ermittlung des RoSI angewandt. Kleiner bzw. mittlerer Schutzbedarf In dieser Klasse würden all jene Systeme/Informationen fallen, die von geringem Wert für das Unternehmen sind. Eine umfassende Analyse würde Kosten verursachen, welche durch den niedrigen Schutzbedarf dieser Klasse nicht gerechtfertigt wäre, weshalb an dieser Stelle auch lediglich die Vorschläge des Grundschutzhandbuches [BSI:2004] umgesetzt werden sollen. (Natürlich ist dies auch auf andere Länder/Bedürfnisse erweiterbar, indem dort gültige Best-Practice Ansätze verwendet werden.) Hoher Schutzbedarf Der nächst kleinere Anteil der Systeme und Informationen würde in diese zweite Klasse fallen. Nachdem der erhöhte Schutzbedarf hier eine individuelle Überprüfung rechtfertigt, soll in diesen Fällen eine qualitative Risikoanalyse mittels Szenariokonzepten durchgeführt werden. Dies entspricht der derzeit gängigen Praxis im Zusammenspiel mit qualitativen Risk-Assessments. Sehr hoher Schutzbedarf Die letzte und kleinste Klasse repräsentiert die Gruppe von Systemen und Informationen mit höchstem Schutzbedarf, wie Forschungsergebnisse und geheime Wirtschaftsdaten. Ein Verlust dieser Daten würde einen erheblichen wirtschaftlichen Schaden darstellen. Aus diesem Grund ist eine umfassende quantitative Risikoanalyse gerechtfertigt, welche mittels einer ALE-Berechnung (siehe Kapitel 4) durchgeführt werden soll. Vorteil dieses gestaffelten Verfahrens ist die leichte Überprüfbarkeit des Sicherheitsstatuses in der niedrigsten Klasse, denn für diese Systeme existiert 20

34 3.2 G.Geiger - Risikonutzen eine Checkliste mit Arbeitsanweisungen. Sind deren Bedingungen erfüllt, ist der Status dieser Informationen als ausreichend sicher einzustufen, damit ergibt sich unmittelbar ein minimaler Analyseaufwand für die meisten Systeme, da eine explizite Überprüfung bzw. eine Berechnung des RoSI nicht notwendig ist. Die Nachteile dieses kombinierten Modells bestehen hauptsächlich aus den Gegenargumenten der Einzel-Methoden. So lässt der Ansatz beispielsweise offen, welcher Best-Practice Ansatz für ein weltweit operierendes Unternehmen verbindlich sein sollte. Da ebenfalls noch keine weltweiten Standards für qualitative Risikoanalysen existieren, ist fraglich welches Verfahren für die zweite Klasse angesetzt werden sollte. Auch für die quantitative Untersuchung der wichtigsten Daten mittels einer ALE-Analyse existieren einige Gegenargumente. Diese können im Kapitel 4 detailliert nachgelesen werden. Darüber hinaus ist es nicht möglich, eine quantitative Risikoeinschätzung aller Systeme (unabhängig von ihrem Schutzbedarf) vorzunehmen. Aus diesem Grund wurde dieses Verfahren nicht weiter verfolgt und vertieft, da eine der entscheidenden Bewertungsgrundlagen (siehe drittes Kriterium, Kapitel 1.2) der Problemstellung nicht erfüllt wurde. (Allerdings wurde das ALE-Modell als eigenständige Methode eingehender untersucht - siehe Kapitel 4.) 3.2 G.Geiger - Risikonutzen (siehe [GEIGER:2004]) Dieses Modell basiert auf einem Ansatz aus der Risikoforschung von Gebhard Geiger, welches Eintrittswahrscheinlichkeiten von Risiken über eine speziell von Geiger entwickelte Wahrscheinlichkeitsverteilung approximiert. Technische Gegebenheiten spielen dabei keine vordergründige Rolle mehr, statt dessen werden Geschäftsdaten als Grundlage der Verteilung angenommen. Besondere Beachtung findet in diesem Modell die Tatsache, dass für unterschiedliche Firmen unterschiedliche Beträge als Schäden tragbar sind. (So sind beispielsweise für Start-Up-Unternehmen verhältnismäßig niedrige Schäden bereits ein Konkursgrund, wohingegen eine große Organisation einen weitaus höheren Verlust kompensieren kann.) Da dieses Verfahren keinen (informations-)technischen Hintergrund hat, wurde es von Luca Mangold ([MANGOLD:2005]) separat bearbeitet. Es stellte sich jedoch nach Abschluss der Arbeiten heraus, dass die zugrunde liegenden Daten nicht ohne weiteres beschafft werden können. So sind beispielsweise Maximalschäden zur Berechnung des RoSI notwendig. Auf die Problematik der Ermittlung dieser Daten wurde bereits in Kapitel verwiesen. Zudem 21

35 3 State of the Art ist fraglich, ob eine IS-Risikoabschätzung sinnvoll ist, die technische Grundlagen der untersuchten Organisation größtenteils außer Acht lässt. Aus diesen Gründen wurde von einer weiteren Vertiefung (auch seitens der Münchener Rückversicherung und Luca Mangold) abgesehen. 3.3 H.Cavusoglu et al. - Spieltheorie (siehe [CAVUSOGLU:2004]) Der von Huseyin Cavusoglu entwickelte Ansatz basiert auf einer Spieltheorie, das heißt: in einer Simulation werden ein potentieller Angreifer und die Verteidigung (Infrastruktur, Gegenmaßnahmen,... ) als Spielteilnehmer abgebildet. Anschließend werden mittels einer detaillierten Untersuchung mögliche Angriffsbäume erstellt, welche jedoch nicht nur die technischen Fakten und Möglichkeiten beider Seiten enthalten, sondern auch Motivation 2 und Risiko für den Angreifer 3. Die Seite des Verteidigers soll dabei in folgende drei Ebenen unterteilt werden: Präventive Ebene In dieser werden all jene Maßnahmen zusammengefasst die einen präventiven Charakter haben, wie beispielsweise Firewalls (Proxies, Paketfilter,... ). Diese Ebene schützt also vor potentiellen Angriffen. Detektivische Ebene In dieser Gruppe werden all jene Maßnahmen gelistet, welche einen erfolgten Angriff erkennen können, wie beispielsweise IDS (Pattern Matcher, Anomaly Detector,... ). Reaktive Ebene In der letzten Klasse werden nun jene Maßnahmen geführt die als Reaktion auf einen erfolgten und erkannten Angriff erfolgen. Diese sind den jeweiligen Gegebenheiten anzupassen und werden unter dem Begriff Manual Monitoring oder Forensics geführt. (Also Maßnahmen die es beispielsweise ermöglichen Beweise sicher zu stellen.) Die Idee ist nun, durch Steuerung und geeignete Aufteilung der Investitionen auf die drei Ebenen, eine optimale Konfiguration der Geldmittel für die Realität zu finden. Eine sehr stark ausgeprägte präventive Ebene würde beispielsweise nach sich ziehen, dass die anderen beiden Gruppen nicht so stark 2 Wie hoch ist der Wert der verteidigten Information? 3 Wie hoch ist die Wahrscheinlichkeit erwischt zu werden? Welche Strafen drohen im Verurteilungsfall? 22

36 3.4 Symantec - INFORM gefördert werden müssen, da nahezu alle Angriffe abgeblockt werden können. In einem zweiten Schritt ist nun jene Konfiguartion zu finden, welche mit den zur Verfügung stehenden Geldmitteln ein Maximum an Sicherheit erreicht. Klar ist, dass der Modellansatz aussagekräftige Argumente für eine bestimmte Konstellation von Finanzmitteln liefert. Verschiedene technische Maßnahmen können zudem in die Simulation eingebunden werden und sind so hinsichtlich ihrer Sicherheitsleistung im Verhältnis zu den entstehenden Kosten vergleichbar. Auch können verschiedene Angriffszenarien unabhängig getestet werden. Es ist davon auszugehen, dass eine detaillierte Simulation (nahezu) unmöglich ist, da diese auf einer nicht zu beschaffenden Datenbasis beruht. Die eigentliche Simulation könnte mit so genannten Attack Graphs (siehe [SHEYNER:2004]) in Kombination mit einem Modelchecker (wie z.b. SPIN) durchgeführt werden. Fest zu halten bleibt, dass die Simulation 4 einen sehr hohen technischen Aufwand erfordert (unter der Voraussetzung, dass alle notwendigen Daten beschafft werden können). Zudem ist eine quantitative Klassifizierung der Risiken nicht direkt in das Verfahren integriert, welche über ein Red-Team Verfahren hinzugefügt werden könnte. Dieser Ansatz birgt jedoch einige erhebliche Schwachstellen in sich (siehe Kapitel 2.1.3), weshalb davon abzuraten ist, dies zu verfolgen. Da fraglich ist, ob die Datenbasis zur Verfügung steht, ist auch die praktische Umsetzbarkeit gefährdet. Desweiteren bietet das Verfahren keine Möglichkeit, Risiken quantitativ abzuschätzen. Damit sind zwei der Bedingungen der Aufgabenstellung (siehe Kapitel 1.2) nicht erfüllt, weshalb das Verfahren nicht weiter verfolgt wurde. 3.4 Symantec - INFORM (siehe [SYMANTEC:2005]) INFORM steht für Information Assurance Risk Model und ist ein kommerzieller Service-Accounting Ansatz der Fa. Symantec, welcher Kunden als Dienstleistung im Rahmen eines Beratungsvertrages angeboten werden soll. Das Tool repräsentiert sich als eine in Excel realisierte Applikation, die in 4... Ohne die Faktoren Motivation und Risiko für den Angreifer 23

37 3 State of the Art vier Schritten eine RoSI-Berechnung durchführt, welche im folgenden gezeigt werden sollen. Die Methodik des Verfahrens wurde jedoch nicht offengelegt, weshalb sich nur spekulieren lässt, welche Systematik sich dahinter verbirgt. General Im ersten Schritt werden generelle Informationen zusammengetragen, wie beispielsweise der derzeitige Kurswert (Marktkapitalisierung), der jährliche Gewinn, das IT-Budget, das IS-Budget, die Anzahl der IS Mitarbeiter und die Risikotoleranz in Prozent. (Diese Toleranz ist jedoch abhängig von der Branche und stellt daher einen vorgegebenen Durchschnittswert dar.) Risk Exposure Dieser Abschnitt wurde in mehrere Teilbereiche untergliedert, in welchen qualitativ zu bewerten ist, wie stark das Unternehmen bestimmten Risiken (bzw. Verlusten) ausgesetzt ist. Regulatory Impact Wie stark ist man bestimmten Gesetzen oder staatlichen Regularien unterworfen? (Geldstrafen, usw.) Information Impact Mögliche Schäden, die durch Verlust von Confidentiality, Integrity oder Availability verursacht wurden. IT Impact Verluste ausgehend von IT-Ausfällen (Clients, Server, Wiederherstellungskosten, usw.) Threat Sources Unter diesem Punkt werden mögliche Gegner gelistet (Organisiertes Verbrechen, Staatsorganisationen, Konkurrenten, usw.). Dabei ist anzugeben wie hoch die Bedrohung ist, die von diesen Gruppen jeweils ausgeht. Business Vulunerabilities Kosten die durch Schwachstellen in der Unternehmensstruktur entstehen (organisatorische Kosten, usw.) Probability of Occurrence Für die zuvor bewerteten Kosten- bzw. Verlustquellen sind im letzten Schritt Eintrittswahrscheinlichkeiten anzugeben. All diese Informationen werden qualitativ erfasst. Das Tool errechnet dann aus den Werten aus Schritt eins (General) und den in diesem zweiten Schritt (Risk Exposure) erfassten qualitativen Schätzungen ein quantitatives Gesamtrisiko, welches im Wesentlichen auf dem Marktwert des Unternehmens basiert. InfoSecurity Controls Im dritten Schritt werden die eingeleiteten Maßnahmen bewertet, welche unter Anderem auf Basis von ISO17799 aufgeschlüsselt werden. 24

38 3.4 Symantec - INFORM Reports Im letzten Schritt werden vom Tool die Sicherheitsmaßnahmen gegen die Risiken abgewogen und ein Report erstellt. Dieser beinhaltet alle erfassten und errechneten Zahlen. Da das Tool als Beratungseinheit verkauft werden soll, ist der Bericht an sich nicht sehr aussagekräftig, da er noch von einem Security-Consultant der Firma Symantec zu bewerten und zu interpretieren ist. Allerdings geht eindeutig aus ihm hervor, welche quantitativen Risiken vermieden werden können und wie dieses Ziel finanziell erreicht werden kann. Vermutlich steckt hinter der Methodik des Ansatzes eine Art universelle ALE-Berechnung. Diese Einschätzung beruht auf folgenden Punkten: Symantec verfügt, laut eigenen Aussagen, über eine umfangreiche Datenbasis, welche zum Einen aus den Rückmeldungen der vertriebenen Sicherheitssoftware, zum Anderen aus den Erfahrungen aus dem Geschäftszweig der Unternehmensberatung resultieren. Diese Datenbasis stellt eine Grundvoraussetzung für eine ALE-basierte Berechnung dar und kann (scheinbar) derzeit nur von einem IT-Sicherheitsunternehmen erfüllt werden. Die im Tool abgefragten Ausgangswerte sind ebenfalls Bestandteil einer ALE Berechnung und stellen damit ein weiteres Indiz dar. Zu guter Letzt präsentiert der abschließende Bericht eine ausführliche Zusammenfassung aller errechneten Werte, welche ebenfalls aus einer ALE Berechnung stammen (bzw. mit einer solchen erzeugt werden) könnten. Vorteil der Methodik ist ganz eindeutig seine mehr oder minder sofortige Einsetzbarkeit (einen Beratungsvertrag mit Symantec vorausgesetzt). Die Kritikpunkte an INFORM konnten Symantec Mitarbeiter während eines Workshops jedoch nicht aus dem Weg räumen: Mangelnde Anpassungsfähigkeit Die Methodik errechnete augenscheinlich zu hohe quantitative Risiken für die Münchener Rückversicherung. Eine kurze Analyse ergab, dass hier Branchen-Durchschnittswerte eine erhebliche Rolle spielen. Da jedoch kein passendes Schema für Rückversicherungen vorhanden war, mussten die Eckdaten von Banken angenommen werden, diese Problematik wurde auch schon in Kapitel angesprochen. 25

39 3 State of the Art Berechnung des quantitativen Risikos Die Bewertung der möglichen Schäden war sowohl detailliert als auch umfangreich gelöst. Alle möglichen Schäden wurden vorbildlich abgedeckt, allerdings waren Überschneidungen der Kostenteilbereiche vorhanden. So sind beispielsweise Kosten die durch Abhängigkeiten aus dem Bereich Regulatory Impact unter dem Punkt California Breach Law entstehen, auch unter dem Punkt Sarabnes Oxley Act zu finden. Eine klare Abgrenzung ist prinzipbedingt nicht ohne Weiteres möglich, da im Allgemeinen gilt: Greift das Eine greift das Andere auch!. Die entstehenden Kosten werden von dem Tool jedoch einfach aufaddiert, was zu einem falschen, weil zu hohen Gesamtschaden führt. Relative Schäden Die Methodik errechnet Schäden aus Unternehmenskennzahlen, wie Marktwert des Unternehmens, Umsatz, usw. Folglich handelt es sich bei diesen Verlusten um Schäden die relativ zu diesen Finanzwerten sind - was nicht der Realität entspricht. Werden beispielsweise Angebotsdaten von einem Konkurrenten ausgespäht, kann dieser, mit einer günstigeren Offerte, den Vertrag an sich binden, die dadurch entstehenden Schäden sind für jede Unternehmensgröße faktisch gleich, auch wenn für eine kleine Organisation dieser Verlust den Konkurs bedeuten kann. Fehlende Transparenz Da es sich um ein kommerzielles Modell handelt, sind zur Zeit die Internas nicht offen gelegt, folglich ist die darunter liegende Methodik vollkommen unbekannt. Aufgrund des kommerziellen Charakters konnte der Ansatz nicht detailliert untersucht werden. Zudem ist der Eindruck entstanden, dass die Methodik zu sehr produktgetrieben ist, da als Handlungsempfehlung immer der Einsatz eines bestimmten, herstellereigenen Produktes vorgesehen war. Aus diesen Gründen wurde von einer weiteren (ohnehin nicht möglichen) Untersuchung abgesehen 5, die Bewertungskriterien der Problemstellung wurden jedoch erfüllt. Eine Analyse der Sicherheit (bzw. Gefährdung) IT-gestützter Betriebsabläufe war, wie geschildert eindeutig möglich. Auch können Risiken quantitativ bewertet werden, wie diese Einteilung methodisch vorgenommen wird ist jedoch als Aussenstehender nicht nachvollziehbar. Zu guter Letzt ist das Verfahren (ein gewisses Vertrauen in Symantec vorausgesetzt) auch in der Praxis einsetzbar. Damit wäre eine weitere ggf. ausführlichere Analyse zu einem späteren Zeitpunkt sinnvoll (eine umfassende Kooperation seitens Symantec vorausgesetzt). 5 Eine eingehende Analyse des ALE Ansatzes wird in dieser Arbeit jedoch angeboten. 26

40 3.5 Weiterverfolgte Ansätze 3.5 Weiterverfolgte Ansätze Eine erste Überprüfung der Ansätze von K.J. SooHoo (ALE), D.C. Loomans (IRS) und S. Houmb (AORDD) rechtfertigte jeweils eine detailliertere Analyse und eine Weiterentwicklung im Rahmen dieser Arbeit. Die Resultate dieser Bemühungen sollen im Folgenden vorgestellt werden. 27

41 3 State of the Art 28

42 4 Annual Loss Expectancy (ALE) - basiertes RoSI Die ALE-Berechnung, die in diesem Modell als Basis zur Ermittlung des RoSI dient, wurde bereits in den 70er Jahren im Zusammenhang mit Untersuchungen zum Risikomanagement entwickelt [BEHNSEN:2004]. In den Brennpunkt des Interesses rückte dieses Prinzip jedoch erst in den Jahren als die Wirtschaftlichkeit von Intrusion Detection Systemen (IDS) von Kevin J. Soo Hoo (Universität, Stanford [SOOHOO:2000]) und Huaqiang Wei (Universität Idaho, [WEI:2001]) unabhängig voneinander analysiert wurde. Wei erstellte eine Grundsatzarbeit, die im Folgenden erläutert werden soll, Soo Hoo erweitert im Prinzip diesen Ansatz um dessen Nachteilen zu begegnen, desweiteren denkt er in seiner Arbeit die Möglichkeit an, unterschiedliche Konstellationen von Sicherheitsmaßnahmen hinsichtlich ihres Nutzens quantitativ zu vergleichen. Auch diese Erweiterungen werden im Anschluß diskutiert; in beiden Ansätzen spielt jedoch die zentrale Kennzahl ALE die alles entscheidende Rolle, welche den erwarteten jährlichen Verlust verkörpert. Die prinzipiellen Berechnungsgrundsätze sollen im Folgenden erläutert werden. 4.1 Vorgehen Um den jährlich erwarteten Verlust (ALE) zu bestimmen, ist es zunächst notwendig die anfallenden Kosten eines potentiellen Vorfalls zu ermitteln, welche sich aus verschieden Faktoren zusammensetzen 1 und im Ansatz nicht näher erläutert werden. Stattdessen arbeitet der Ansatz von Wei mit einer Variablen (R - Recovery Cost - Kosten der potentiellen Schäden), diese beschreibt alle Aufwendungen, die notwendig sind, um bei einem aufgetretenen Schaden den ursprünglichen Zustand wieder herzustellen. Dabei handelt es sich nicht nur um Technik- und Personal-, sondern auch um Reputationskosten usw. Die Recovery Cost hängen von dem tatsächlichen Eintritt des Vorfalls ab, müssen aber aus Erfahrungswerten der Vergangenheit, für die Zukunft abgeschätzt werden. 1 Wiederherstellungs-, Reputations-, Software-, Hardwarekosten, usw. 29

43 4 Annual Loss Expectancy (ALE) - basiertes RoSI Als nächster Schritt ist es notwendig, mögliche Einsparungen durch Sicherheitsinvestitionen zu erfassen. Dieser kummulierte Wert findet sich in einer weiteren Variablen (S - Savings - Reduzierung der Kosten der angenommen Schäden) wieder, welcher alle Kosten umfasst, die durch die Einführung von IT- Sicherheitsmechanismen (wie z.b. Tools, Schulungen, Policies, usw.) gespart werden. Einzurechnen ist hierbei ein Unsicherheitsfaktor, der beinhaltet, dass die eingeleiteten Maßnahmen, die potentiellen Schäden nicht zu 100% verhindern können. (Natürlich müssen auch diese Kosten für die Zukunft, aus historischen Erfahrungswerten abgeschätzt werden.) Im letzten Schritt sind noch die anfallenden Investitionskosten zu bestimmen, welche in der letzten Variablen (T - Tool Cost - Kosten für IT-Sicherheitsmaßnahmen) festgehalten werden. Diese beinhaltet alle kummulierten Kosten für IT-Sicherheitsmaßnahmen, die mit Hilfe des Total Cost of Ownership (TCO) Modells berechnet wurden (was mehr oder minder exakt möglich ist). Damit ergeben sich folgende Berechnungsschritte: RoSI = R ALE (4.1) ALE = (R S) + T (4.2) daraus folgt: RoSI = S T (4.3) Veranschaulichen kann man das an folgendem Rechenbeispiel das während eines Experimentes (siehe [WEI:2001]) aufgestellt wurde und die Wirtschaftlichkeit eines Information Detection Systems in einem fiktiven Unternehmen untersucht: In einer Konstellation ohne IDS verursacht ein Angreifer einen Schaden von $ Die anschließende Untersuchung des Vorfalls ergibt, dass sich ein ähnlicher Vorfall circa alle zwei Jahre ereignet, daraus folgt ein erwarteter jährlicher Verlust (R) von $ : 2 = $ Ein installiertes IDS hätte den Schaden mit einer Wahrscheinlichkeit von 85% verhindern können, damit ergibt sich ein Einsparpotential (S) von $ % = $ Die Kosten für Anschaffung, Betrieb und Wartung (T ) des Intrusion Detection Systems betragen $ im Jahr. Aus diesen Angaben lässt sich der RoSI berechnen: 30

44 4.1 Vorgehen ALE = R S + T = = $ $ $ = = $ RoSI = R ALE = = $ $ = = $ Folglich würde sich eine Investition in ein IDS lohnen. Ein ausführlicheres Beispiel findet sich in [POHLMAN:2004]. Hier wird auf sehr ausführliche Weise die Wirtschaftlichkeit einer Investition in eine Firewall überprüft. Aus dem Beispiel ergibt sich ein exemplarischer Ablauf zur Gewinnung der Ausgangswerte und der Berechnung. Dieser gliedert sich in 3 Hauptschritte (siehe Abbildung 4.1). Abbildung 4.1: Schematischer Ablauf der ALE-Methode Schritt 1 - Identifikation In diesem Schritt sind einige weichenstellende Fragen zu beantworten. Welche sicherheitsrelevanten Vorfälle können 31

45 4 Annual Loss Expectancy (ALE) - basiertes RoSI eintreten? Welche Informationsgüter sind dadurch betroffen? Welche Schutzmaßnahmen können eingeleitet werden, um diese zu verhindern? Schritt 2 - Datenerhebung Sind alle betroffenen Informationsgüter und alle potentiellen Vorfälle erfasst, muss ermittelt werden, wie hoch die möglichen Schäden und wie hoch deren Eintrittswahrscheinlichkeiten sind, das heißt, in diesem Schritt werden die zur Berechnung notwendigen Daten erfasst und kumuliert. Von weiterem Interesse sind auch die möglichen Gegenmaßnahmen: Welchen Wirkungsgrad haben sie? Wie hoch sind die zusätzlich anfallenden Kosten? Schritt 3 - Berechnung des RoSI Die im Schritt 2 ermittelten Werte werden nun in die Formel eingesetzt und anschließend der RoSI ermittelt. Diesen prinzipiellen Ablauf haben sowohl das Modell von SooHoo als auch das Verfahren von Wei gemein. Soo Hoo erweitert diesen Ansatz jedoch um zwei weitere Aspekte: Seine Methodik sieht vor, dass für mehrere Konstellationen von Investitionen der ALE-Wert berechnet wird, damit ergibt sich die Möglichkeit diese anhand Ihres Nutzens zu vergleichen, indem man die Differenz der ALE-Werte betrachtet. Da für alle Konstellationen die Variable R (Kosten der potentiellen Schäden) konstant ist, ist jene Investitionsmöglichkeit vorzuziehen, welche den kleinsten ALE (erwarteter jährlicher Verlust) mit sich bringt. Angenommen für das vorige Beispiel (Unternehmen mit und ohne IDS) lägen zwei unterschiedliche IDS-Produkte vor, weiterhin angenommen die Kosten (T - Toolkosten) für Produkt A würden sich auf $ bei einem Wirkungsgrad von 85% und die von Produkt B auf $ bei einem Wirkungsgard von 79% belaufen, dann wäre der erwartete jährliche Verlust (R - Kosten der potentiellen Schäden) in beiden Fällen gleich und würde sich auf $ belaufen. Damit ergibt sich für Produkt A ALE = (R S) + T = = $ $ $ = = $ Und für Produkt B ALE = (R S) + T = = $ $ $ = = $

46 4.1 Vorgehen Demnach ist die Alternative B vorzuziehen, da (obwohl der Wirkungsgrad deutlich schlechter ist) der RoSI unter Verwendung dieses Produktes maximal ist. Zudem bietet Soo Hoo ein, auf so genannten Influence Diagrams basierendes Verfahren an, das die Wertebestimmung von kombinierten Sicherungsmaßnahmen ermöglichen kann (bisher wurden Sicherheitsmaßnahmen isoliert betrachtet und gegenseitige Einflüsse ausgeschlossen). Dabei zeigen diese Diagramme die Einflüsse einer oder mehrerer Maßnahmen auf Frequenz und Konsequenzen von Bad Events, was wiederum Auswirkungen auf den ALE hat (siehe Abbildung 4.2). Dieser Gedanke wird in einem weiteren, in dieser Arbeit vorgestellten, Verfahren (siehe Kapitel 6) konsequent weiterverfolgt und verfeinert. Abbildung 4.2: Influence Diagram von Soo Hoo Darüber hinaus können anstatt konkreter Eintrittswahrscheinlichkeiten Verteilungen angegeben werden, was es ermöglicht, auch unter ungünstigen Voraussetzungen, Ergebnisse zu erzielen. Somit können auch Eintrittswahrscheinlichkeiten abgeschätzt werden, die nicht mit historischen Daten belegbar sind. Allerdings muss an dieser Stelle erwähnt werden, dass durch Anwendung dieser Technik nur eine Problemverlagerung stattfindet. Es ist sehr schwer die Wahl einer bestimmten Wahrscheinlichkeitsverteilung zu begründen, ohne statistische Daten, die diese Entscheidung untermauern. 33

47 4 Annual Loss Expectancy (ALE) - basiertes RoSI Würden Statistiken existieren könnten jedoch die Eintrittswahrscheinlichkeiten, mit einer gewissen Ungenauigkeit behaftet, auch direkt angegeben werden. Beide Verfahren haben daher mehr oder minder die gleichen Stärken und Schwächen, daher sollen sie im Weiteren nicht mehr getrennt voneinander behandelt werden. 4.2 Vor- und Nachteile Die Methodik ist eine direkte Weiterentwicklung aus der Return on Investment (ROI) Kennzahl, welche es ermöglicht Aussagen über die Rentabilität einer Investition zu tätigen. Aus der Nähe zu dieser weit verbreiteten Renditekennzahl folgen unmittelbar einige Vorteile des Verfahrens, die einen Einsatz rechtfertigen. So profitiert die Akzeptanz, welche der Methodik entgegengebracht wird, von dem hohen Bekanntheitsgrad des ROIs. Die Anerkennung profitiert weiterhin von der klaren Strukturiertheit des Ansatzes, welcher es erlaubt auch gegenüber fachfremder, bzw. mit der Methodologie nicht vertrauten Laien, glaubhaft und nachvollziehbar zu argumentieren. Durch den Zwang Informationsgüter hinsichtlich Ihrer Kritikalität zu bewerten und zu klassifizieren, entstehen weitere positive Nebeneffekte, welche das Risikobewusstsein im Unternehmen nachhaltig positiv beeinflussen. Ist bekannt, welche Informationen von hohem unternehmerischen Wert sind, wird diese Erkenntnis in einem risikoaversen Umgang resultieren. Die Klassifizierung führt desweiteren zu einer hohen Strukturiertheit in der Informationsorganisation, von welcher auch andere Bereiche des IT-Apparates profitieren können. So wäre beispielsweise eine an die jeweilige Kritikalität angepasste Safety-Strategie denkbar. Christian Abel und Ralf Thiele weisen in Ihrer Arbeit [ABEL:2003] jedoch auf eine ganze Reihe von Sachverhalten hin, welche den Einsatz bzw. die Praktikabilität des Modells in Frage stellen. So ist, laut dieser Veröffentlichung, die zuvor angesprochene Klassifizierung der Informationsgüter fraglich, da in der Regel sowohl ein seperates IS-Management, als auch die zugrunde liegende Organisation in den meisten Unternehmen noch nicht umgesetzt wurde. Dieser Mangel erlaubt es somit nicht, den RoSI mittels einer ALE-Berechnung adhoc zu berechnen, da das Modell keinerlei Vorgaben bzw. Hinweise darüber gibt, wie eine solche Struktur einzuführen ist. Der erhebliche Mehraufwand der Einführung ist durch den Wunsch eine RoSI Berechnung zu ermöglichen nicht gerechtfertigt, auch wenn viele Pro-Argumente existieren, die eine derartige Organisation, losgelöst von dieser Thematik, untermauern. Auf die Münchener 34

48 4.2 Vor- und Nachteile Rückversicherung ist diese Argumentation jedoch nicht anwendbar, da hier eine derartige Klassifizierung bereits seit geraumer Zeit eingeführt und praktiziert wird. Die Beschaffung der Grundlagen, auf welche sich die Berechnung stützt, stellt ein größeres Hindernis dar, da auf diese in der Arbeit nicht näher eingegangen wird. Dazu gehört die Problematik Schäden zu ermitteln, auf welche bereits in Kapitel hingewiesen wurde. Auch die Feststellung des qualitativen Risikos, das von einem einzelnen Vorfall ausgeht, ist nicht unerheblich. In manchen Fällen können historische Daten in Form von Statistiken diese Wahrscheinlichkeiten liefern, so ist beispielsweise denkbar, das Risiko eines Virenvorfalls damit abzuschätzten, dass Häufigkeiten, Verbreitungsgeschwindigkeiten usw. aus der Vergangenheit für zukünftige Ereignisse approximiert werden. Andere Vorfälle, wie beispielsweise ein speziell auf das Unternehmen ausgerichteter Angriff, mittels eines neu entwickelten Exploits lassen sich damit nicht erfassen. Prinzipiell müsste es jedoch möglich sein derartige Werte mittels eines HoneyNets zu bestimmen. Da auch das in Kapitel 6 vorgestellte Modell ähnliche Werte verlangt, sei an dieser Stelle auf die dortigen Ausführungen verwiesen. Ebenso verhält es sich mit dem Wirkungsgrad der eingesetzten Maßnahmen, diese Werte sind ebenfalls nicht ohne Weiteres zu bestimmen, können jedoch möglicherweise, wie die Eintrittswahrscheinlichkeiten, aus historischen Daten und HoneyNets bestimmt werden. Auch an dieser Stelle sei auf die ausführlichere Behandlung der Thematik in Kapitel 6 hingewiesen. Der Einsatz des Modells ist jedoch auch wegen anderer Gesichtspunkte fraglich. So können in dieser Methodik keine Maßnahmen sinnvoll abgebildet werden, die von nichttechnischer Natur sind. Der für den Einsatz der Maßnahme Virenscanner lässt sich schlüssig argumentieren - die soziologische Mitarbeitersensibilisierung hingegen kann nicht (seriös) integriert werden. Auch die Abbildung technischer Maßnahmen ist nicht fehlerfrei. Die Interaktion mehrerer Maßnahmen zu erfassen fällt schwer, auch wenn Soo Hoo mit seinen Influence Diagram etwas derartiges anbietet. Begründet ist dies in der hohen Komplexität eines Gesamtsystems, das an dieser Stelle bewertet werden soll. Die Kombination mehrerer Maßnahmen kann die Sicherheitsleistung sowohl positiv als auch negativ beeinflussen. Einerseits führt ein installiertes IDS beispielsweise zu einer höheren Transparenz innerhalb eines Netzwerkes und damit zu einer Verringerung des Gesamtrisikos. Andererseits birgt eben jenes System ebenfalls Gefahren, da durch dessen Einsatz die Angriffsfläche 35

49 4 Annual Loss Expectancy (ALE) - basiertes RoSI erhöht wird. Die isolierte Betrachtungsweise des Ansatzes erlaubt nicht, derartige Interaktion abzubilden, womit die Gefahrensituation nicht korrekt erfasst werden kann. Zu guter Letzt wäre noch die fehlende Flexibilität des Modells anzusprechen - die Methodik kann nur mit der vorgestellten, sehr feinen Granularität verwendet werden, so dass, losgelöst von der Klassifizierung der Information, immer der selbe Aufwand betrieben werden muss um eine RoSI-Berechnung durchzuführen. Dass dieser Aufwand ein Kostentreiber ist, der nicht in jedem Fall gerechtfertigt ist, muss an dieser Stelle nicht gesondert betrachtet werden. Zusammenfassend lässt sich sagen, dass die Schwächen des Modells in der Datenbeschaffung liegen. Würden diese gelöst, läge ein Modell vor, mit welchem sehr effektiv und einfach, auch gegenüber fachfremder Laien, argumentiert werden könnte. Die hier vorgestellte Überarbeitung des ALE-Ansatzes setzt auf einer Einschränkung des Anwendungsbereiches auf, welche die schwer wiegensten Gegenargumente nahezu egalisiert. Die Problematik der exakten Datenbeschaffung lässt sich nicht generell lösen, allerdings ist es (in einem gewissen Rahmen) möglich, die notwendigen Werte für ein klar definiertes (technisches) Projekt zu ermitteln. Aus diesem Grund wurde die Anwendung des Ansatzes auf technische Projekte beschränkt und die Durchführbarkeit in einer Studie überprüft. 4.3 Studie: Projekt Security Monitoring Dabei bot sich ein vor dem Kick-Off stehendes Projekt mit dem Titel: Security- Monitoring an. Zum Zeitpunkt der Studie, stand die Management Ebene der Münchener Rückversicherung vor der klassischen RoSI- (Invest-) Entscheidung. Ziel der Studie war diese Entscheidung mit Fakten zu untermauern, die mit Hilfe der ALE-Methode generiert wurden. Das Modell bot sich an, da der Themenhintergrund des Projektes von stark technisch geprägter Natur und so eine der Vorbedingungen bereits erfüllt war. Das weitere Vorgehen sollte nun zeigen, dass auch die anderen Gegenargumente wenn nicht behoben, so doch sehr stark abgeschwächt werden konnten. Eine Expertenbefragung während der Vorbereitungsphase in Toronto/ Canada ergab, dass eine seriöse Datenbeschaffung in gewissen Grenzen für dieses Projekt möglich war, womit eine weitere Bedingung erfüllt wurde. 36

50 4.3 Studie: Projekt Security Monitoring Im Anschluss wurde das Modell von Wei in Form zweier Excel-Sheets prototypenhaft verwirklicht, dabei unterscheiden sich die beiden in der Form, wie Eintrittswahrscheinlichkeien zu ermitteln sind. So sind in der zweiten Variante anstatt exakter diskreter Werte, eine untere und eine obere Grenze anzugeben (Rahmen-Methode). Damit wurde dem Nachteil der nicht exakt erfassbaren Eintrittswahrscheinlichkeiten begegnet. Diese vereinfachte Form hat gegenüber dem Modellansatz von Soo Hoo 2 den Vorteil, dass sie auch für Laien leicht verständlich ist und dennoch zu einem vergleichbaren Resultat führt. Auch stellt sich mit der Rahmen-Methode nicht das Problem, eine realistische Wahrscheinlichkeitsverteilung finden zu müssen. Natürlich liefert die Berechnung keine absoluten Werte als Ergebnis, dennoch sind die Resultate so aussagekräftig, dass auf ihrer Basis eine Investment-Entscheidung getroffen werden kann. Die Rahmen-Methode ist natürlich auch für die Schäden (damit für die Schadenspotentiale) und alle anderen Werte denkbar und wurde in der zweiten Variante auch so umgesetzt. Zu beachten ist, dass die Kennzahlen, die mit Hilfe einer unteren und einer oberen Schranke ermittelt werden, um so ungenauer werden, je größer die Bandbreite 3 wird. Die in der Befragung ermittelten Kennzahlen wurden im Anschluß in die Prototypen eingepflegt und ausgewertet. Das Ergebnis war sowohl realistisch als auch aufschlußreich: Eine Investition in das Projekt Security Monitoring ist nur dann sinnvoll, wenn zu dessen Aufgabengebiet die Virenabwehr gerechnet wird, da diese mit Abstand das größte Return-Potential hat, alle anderen Maßnahmen 4 hatten (laut Berechnungen der Studie) kein oder nur sehr geringes Sparpotential. Damit stellen sich für das IS-Management mehrere Kernfragen: Gehört die Virenabwehr zum Security Monitoring? Sind die anderen Maßnahmen zu kürzen um den Return zu maximieren? Sind alle Schadenspotentiale erfasst, so dass eine solche Kürzung realistisch ist? Für das Verfahrensmodell wurden, durch die Einschränkung auf einzelne technische Projekte, eine ganze Reihe von Gegenargumenten entkräftet: Die angeprangerte fehlende Flexibilität fällt nicht so sehr ins Gewicht, da bereits im Vorfeld zu beschließen ist, auf welche Projekte das Verfahren angewandt werden soll. Für den Schutz des Speiseplans würde damit das Verfahren gar nicht erst zum Einsatz gebracht. Qualitative Risiken und Wirkungsgrade können in diesem auf technische Belange eingegrenzten Umfeld leichter ermittelt werden; ebenso 2 Es werden nicht diskrete Eintrittswahrscheinlichkeiten, sondern Verteilungen benützt. 3 Differenz zwischen oberer und unterer Schranke 4 Content Scanning, Policy Compliance, Penetration Testing, IDS und Computer Forensics 37

51 4 Annual Loss Expectancy (ALE) - basiertes RoSI mögliche Interaktionen (mit Hilfe der Influence Diagrams von Soo Hoo). Zu guter Letzt ist es leichter Schäden für ein einzelnes Projekt zu ermitteln, da hier meist indirekte Kosten, wie Imageverlust oder Kursverfall der Aktien keine übergeordnete Rolle spielen. 4.4 Bewertung gemäß der Aufgabenstellung Als Abschluß der Studie wurde die Methode gemäß der Aufgabenstellung überprüft und deren Bewertungsmaßstäben (siehe Kapitel 1.2) unterworfen Ist eine Analyse der Sicherheit (bzw. der Gefährdung) IT-gestützter Betriebsabläufe möglich? Die Untersuchung der Sicherheit (bzw. der Gefährdung) ist Bestandteil der vorbereitenden Arbeiten zur Findung der Ausgangswerte, die zur Berechnung des RoSI notwendig sind. Das Verfahren selbst liefert keine generelle Vorgehensweise zur Analyse. Ein standardisiertes Verfahren ist jedoch prinzipiell möglich. Denkbar wären beispielsweise die schon aus vielen (qualitativen) Risk Assessments bekannten Prozesse Können IT-Risiken quantitativ bewertet werden? Es findet eine quantitative Einschätzung der IT-Risiken statt, da Schadenspotentiale bestimmt werden; zu deren Berechnung sind jedoch umfangreiche Vorarbeiten notwendig, die noch nicht, wie schon im vorherigen Punkt erwähnt, standardisiert sind. Prinzipiell weist das Verfahren jedoch in einem Zwischenschritt die quantitative Risikobewertung (total potential damage) eines Bereichs 5 aus. 5 Das Verfahren wurde nach Maßnahmen in Bereiche gegliedert. Die quantitativen Kennzahlen liegen nur für diese definierten Bereiche vor. 38

52 4.5 Zusammenfassung und Ausblick Ist das Verfahren für das IS-Management im Unternehmen durchführbar? Das Verfahren ist prinzipiell für eine Invest-Entscheidung geeignet. Auch mehrere Invest-Möglichkeiten können gegeneinander verglichen werden, indem das Verfahren mehrfach angewandt und die resultierenden Ergebnisse als Bewertungsgrundlage benützt werden. Ist es notwendig die Kombination mehrerer Maßnahmen zu bewerten, ist die Technik der Influence Diagrams von Soo Hoo in das Modell zu integrieren. Zudem bleibt anzumerken, dass die Einsetzbarkeit auf technische Projekte beschränkt ist, was bedeutet, dass der RoSI mit diesem Modell nicht für größere Einheiten berechnet werden kann. Für die Münchener Rückversicherung ist dieses Verfahren in gewissem Rahmen praktikabel, denn es existieren, wenn auch begrenzt, historische Datenaufzeichenungen, auf welche zurück gegriffen werden kann. Desweiteren verfügt das IS-Management über eine detaillierte (qualitative) Einschätzung der Informationsgüter, die auch in regelmäßigen Abständen überprüft und überarbeitet wird. Somit sind die Voraussetzungen erfüllt, um im oben beschriebenen engen Rahmen das Modell anzuwenden. 4.5 Zusammenfassung und Ausblick Zusammenfassend lässt sich sagen: Das Verfahren erscheint für eine Detailentscheidung auf Projektebene geeignet. (Wenn ein international agierender IT-Sicherheitsanbieter seine Datenbasis zur Verfügung stellen würde, wären die resultiernden Ergebnisse natürlich deutlich genauer.) Die Einschränkung auf technische Projekte würde jedoch auch dann bestehen bleiben. Damit ist klar, dass eine unternehmensweite RoSI-Berechnung mit dem ALE-Modell nicht möglich ist. Die Erfolge der Studie rechtfertigen dennoch eine weitere Vertiefung des Verfahrens, Ziel könnte eine standardisierte Nischenlösung sein, welche immer dann anzuwenden ist, wenn die technischen Vorabbedingungen für eine Projektentscheidung erfüllt sind. 39

53 4 Annual Loss Expectancy (ALE) - basiertes RoSI 40

54 5 Extended Information Risk Scorecard (EIRS) Die meisten Ansätze 1 zur Bewältigung des RoSI-Problems haben einen Mangel gemein: die Beschaffung der Ausgangsdaten. Aus diesem Grund entwickelte D.C. Loomans die IRS Methode [LOOMANS:2004] aus einem Ansatz des Information Security Forum (ISF), in welcher explizit auf die Datenbeschaffung eingegangen und sie zum Teil eines prozessorientierten Ansatzes gemacht wird. 5.1 Basis: Information Risk Scorecard (IRS) Die Methodik von D.C. Loomans setzt auf einer Scorecard (einer Art Fragebogen) auf, mit welcher die aktuelle qualitative Risikosituation in fünf Bereichen erfasst werden kann. Zusätzlich werden die qualitativen Soll- Vorstellungen des Management eingeholt, welche in Kombination mit der Auswertung der Sektionen, einen detaillierten qualitativen Ist-Soll Abgleich ermöglicht. Die Erweiterung eines Risk-Assessments um die Kollation zwischen Ist und Soll ist bisher einmalig, wodurch eine genauere Untersuchung der Methodik gerechtfertigt wurde. Das Modell liefert allerdings keinerlei Aussagen über quantitative Aspekte, womit der zweite Punkt des Bewertungskataloges 2 (siehe Kapitel 1.2) verletzt wurde. Deshalb war eine Weiterentwicklung (EIRS) notwendig. Das Resultat dieses Schrittes ist eine auf der IRS basierende, aber vollkommen eigenständige Methodik, welche die ursprünglichen Aspekte um quantitative Gesichtspunkte erweitert. 1 Soo Hoo [SOOHOO:2000] bzw. Wei [WEI:2001], Siv Houmb [HOUMB:2004], H.Federath [FEDERATH:2004], H.Cavusoglu [CAVUSOGLU:2004] und Geiger [GEIGER:2004] 2 Können IT-Risiken quantitativ bewertet werden? 41

55 5 Extended Information Risk Scorecard (EIRS) 5.2 Was ist eine Extended Information Risk Scorecard (EIRS)? Die Scorecard der IRS wurde um einige Aspekte erweitert, welche es ermöglichen zu der qualitativen Sicht von D.C. Loomans die quantitative hinzuzufügen. Das heißt es wird möglich, die reine Risikobetrachtung aus der IRS mit monetären Aspekten zu verknüpfen. Die Aufteilung der IRS in fünf Teil-Risiko-Bereiche wurde zunächst vollständig übernommen. Diese ist jedoch nicht zwingend und kann daher den Bedürfnissen entsprechend angepasst werden. So ist denkbar eine Annäherung an ISO17799 vorzunehmen und statt der jetzigen fünf zehn Sektionen zu benützen, deren Grundlage dieser Standard ist. Die tatsächliche Ermittlung der Risikolevel war nicht Bestandteil der vorliegenden Literatur, weshalb die Methodik um eine entsprechende Berechnung erweitert werden musste. Diese bewertet derzeit die Fragen der Sektionen gleichwertig und setzt damit keine Schwerpunkte innerhalb der Teilbereiche. Für die qualitativen Antwortmöglichkeiten wurde eine lineare Gewichtung vorgesehen, welche eine leichtere Bewertung erlaubt. Diese beiden Aspekte 3 der qualitativen Risikoermittlung stehen jedoch zur Diskussion und können entsprechend angepasst werden. So ist vorstellbar, dass in den Teilbereichen über eine Umverteilung der Gewichtung, Schwerpunkte geschaffen werden. Um die quantitativen Aspekte tatsächlich zu integrieren war es notwendig eine konzeptionell vollkommen neue Sicht mit in die Methodik aufzunehmen: die (100-x)% Regel. Diese ermöglicht es, aus dem qualitativen den quantitativen Soll-Zustand zu ermitteln (siehe Kapitel ). Der Ist-Zustand wird ebenfalls in einer Erweiterung der Scorecard über das TCO 4 -Prinzip erfasst (siehe Kapitel ), was in Kombination mit der zuvor errechneten monetären Vorgabe einen revolutionären, quantitativen Ist-Soll Vergleich ermöglicht. Die Einbettung in einen kontinuierlichen Prozess ist auch in der EIRS (ähnlich zur IRS) ein wesentlicher Bestandteil (siehe Kapitel 5.3.4); dieser gewährleistet eine fortwährende Überprüfung und Adaption der Vorgaben sowie eine regelmäßige Dokumentation des qualitativen und quantitativen Ist- Soll-Zustandes. 3 gleichwertige Fragen und lineare Gewichtung der qualitativen Antwortmöglichkeiten 4 Total Cost of Ownership 42

56 5.3 Vorgehen Die Realisierung dieser Gesichtspunkte soll nun im Folgenden im Detail gezeigt und erläutert werden. 5.3 Vorgehen Qualitativer Teil der EIRS Der qualitative Teil der EIRS basiert in großen Teilen auf der IRS. Die wesentlichen Unterschiede finden sich in der Berechnung (siehe Kapitel ) und in der zusätzlichen Erfassung von einigen finanziellen Aspekten in der neu geschaffenen Sektion Management der Scorecard, in welcher die Richtlinien der Unternehmensführung abgeholt werden Erfassung der tatsächlichen Risikolevel durch die Scorecard Um das derzeitige tatsächliche Risikolevel für eine bestimmte Informationsquelle 5 zu bestimmen, wird eine Scorecard herangezogen, welche von dem jeweilig Verantwortlichen 6 bearbeitet wird. Dieser Vorgang sollte umfassend und sehr gründlich erfolgen, wodurch es notwendig werden kann Hintergrundinformationen von einem Spezialisten (IT, IS oder Management) einzufordern Grundlagen der qualitativen EIRS Das hier beschriebene Vorgehen entspricht in weiten Teilen dem Verfahren aus der herkömmlichen IRS von D.C. Loomans[LOOMANS:2004], hier wie dort ist die Scorecard derart aufgebaut, dass sie systematisch alle relevanten Riskoaspekte abfragt. Zur besseren Strukturiertheit wurde dabei das Gesamtrisiko für die Informationsquelle in fünf separate Bereiche unterteilt. 5 Information Ressource - dies kann eine einzelne Datei, der Datenbestand eines Projektes, der Datenbestand einer Abteilung, der Datenbestand einer Division, ein Netzwerk, eine Applikation, usw.... sein. 6 Information Owner 43

57 5 Extended Information Risk Scorecard (EIRS) Control Weakness Unter diesem Punkt werden alle organisatorischen und technischen Aspekte von sicherheitsrelevanten Prozessen und Maßnahmen aus 17 Bereichen (siehe Kapitel C.1) zusammengefasst. Betrachtet werden hier beispielsweise: die Einhaltung von Policies, das Vorhandensein eines adäquaten Sicherheitsmanagements, der Ausbildungsstand der Mitarbeiter, der Virenschutz, usw.... Je höher der später errechnete Wert, desto mehr Schwachstellen treten auf, bzw. desto größer ist die Wahrscheinlichkeit für einen Vorfall. Special Circumstances Hier werden spezielle Umstände erfasst, die besondere Rahmenbedingungen schaffen. Dazu zählt beispielsweise eine weite Verteilung oder eine hohe Komplexität der Information. Je höher der später errechnete Wert, desto mehr besondere Rahmenbedingungen treffen zu. Das bedeutet es handelt sich beispielsweise um eine komplexe, verteilte Informationsquelle, welche starken Veränderungen unterworfen ist. Business Impact Der Business Impact beschreibt die (proportionale) Relation zwischen IT-Sicherheits Vorfällen und Geschäft, dabei werden die Punkte financial loss, degraded performance, loss of management control, damaged reputation und impaired growth erfasst. Je höher der später errechnete Wert, desto größer ist die Auswirkung eines einzelnen Vorfalls auf das (Tages-) Geschäft. Level of threat Unter diesem Punkt sollen mögliche Fehlerquellen und deren potentieller Schaden festgestellt werden, dazu wird abgefragt wie viele Vorfälle sich in einem bestimmten Zeitraum (beispielsweise im letzten Jahr) ereignet haben. Diese werden in sechs Kategorien unterteilt: soft- and hardware, loss of services, equipment facilities, overloads, unforeseen effects of change und other undesirable acts (eg access violations, viruses). Je höher der später errechnete Wert, desto höher ist die Gefahr eines Vorfalls. Criticality Dabei handelt es sich um ein Maß für den maximalen Schaden, der durch einen Vorfall entstehen kann, wobei die Aspekte eines einzelnen 44

58 5.3 Vorgehen möglichen Vorfalls analysiert werden (Preisgabe von geheimen Informationen, Veränderung der Informationsquelle und Ausfallzeiten). Je höher hier der später errechnete Wert, desto wahrscheinlicher ist im Falle eines Vorfalls ein großer Schaden. Um die fünf Werte für die einzelnen Teilbereiche berechnen zu können werden eine Reihe von Einzelparametern in der Scorecard abgefragt. Diese werden methodisch derart ermittelt, dass für jedes Bewertungsattribut eine einzelne Sektion der Scorecard zu bearbeiten ist. Die Komplexität des Teilbereichs Control Weakness macht es jedoch erforderlich, diesen Wert ausgehend von zwei Sektionen zu ermitteln. Somit setzt sich dieser aus den Sektionen Status of Arrangements und Strengthening Controls zusammen. Status of arrangements und Strenghtening Controls Diese beiden Sektionen dienen dazu die Control Weakness zu erfassen 7. In Status of arrangements wird der aktuelle Status der organisatorischen und technischen Maßnahmen des Unternehmens abgedeckt, wohingegen in Strenghtening Controls zukünftige Veränderungen (bezogen auf diesen aktuellen Status) abgefragt werden. D.C. Loomans wertet zukünftige Entscheidungen nur rein informativ aus, wohingegen in der EIRS diese zu dem Bereich Control Weakness gerechnet werden. Dies ist begründet in der Tatsache, dass Aussagen in diesem Bereich aufzeigen, in welchem Stadium sich einzelne Maßnahmen befinden. Diese Information hat entscheidende Auswirkung auf das Risikolevel von Control Weakness, denn sie bedeuten, dass sich der Status of arrangements-wert in naher Zukunft ändern kann bzw. wird. (siehe Abbildung C.4 und Abbildung C.5) Special circumstances (siehe Abbildung C.6) Business impact) (siehe Abbildung C.7 Level of Threat (siehe Abbildung C.8) 7 Im Verhältnis 1:1. 45

59 5 Extended Information Risk Scorecard (EIRS) Criticality (siehe Abbildung C.9) General Unter diesem Punkt werden alle Informationen gesammelt welche von übergreifendem Interesse sind (und somit nicht in der Risikosituation auftauchen). Beispielsweise werden zusätzlich Daten zur Identity (Eindeutige Beschreibung der Informationsquelle) und der Accountability (Erfassung des Verantwortlichen/Owners) erfasst. (siehe Abbildung C.2) Management Unter diesem Punkt werden alle Informationen zusammengefasst, welche zur qualitativen (siehe Kapitel ) Soll-Bestimmung notwendig sind. Der Vollständigkeit halber sei hier noch erwähnt, dass unter diesem Punkt auch noch einige monetäre Aspekte abgefragt werden, welche jedoch nicht zur qualitativen sondern zu quantitativen Berechnung notwendig sind (siehe Kapitel ). Diese Werte erscheinen nicht direkt (wie die Werte der Sektion General) in der Risikosituation. (siehe Abbildung C.3) Die Auswertung der Scorecard (siehe Kapitel ) ergibt für jeden der fünf Bereiche einen tatsächlichen Ist-Wert, welcher in einem Netzdiagramm angetragen wird (siehe Abbildung 5.1), wobei die benützen Teilbereiche als Achsen dienen. Fest zu halten bleibt, dass der errechnete Wert für eines dieser Attribute dann optimal ist, wenn dessen Wert bei 0% liegt. (Theoretisch: Es existiert kein Risiko in diesem Teilbereich. Das maximal vorstellbare Risiko wäre dann mit einem Wert von 100% abgebildet.) Demnach stellt ein Wert von 80% ein hohes Risiko und nicht eine gute Absicherung (bzw. geringe Bedrohung) dar. Überträgt man diesen Gedanken auf die Abbildung (siehe Abbildung 5.1), so ist eine sehr kleine Fläche um den Ursprung nahezu optimal, da diese fünf sehr kleine Risikowerte der einzelnen Teilbereiche repräsentiert. 46

60 5.3 Vorgehen Abbildung 5.1: Risikodiagramm mit den fünf Teilbereichen der EIRS Qualitativer Ist-Soll-Vergleich Ziel ist nun ein qualitativer Ist-Soll-Vergleich, welcher es ermöglicht folgende Aspekte aufzuzeigen und zu vergleichen: Risikovorgabe seitens des Managements Wieviel Risiko ist das Management bereit, in den einzelnen Teilrisikobereichen zu tragen und welche Risiken sind dagegen untragbar und daher zu vermeiden? Tatsächlicher Risiko-Ist-Stand Wurden die qualitativen Risiko-Vorgaben des Managements für die einzelnen Teilbereiche erfüllt? Abweichung zwischen Ist und Soll Welches Maß der Abweichung besteht zwischen der derzeitig aktuellen Implementierung und den Vorgaben. 47

61 5 Extended Information Risk Scorecard (EIRS) Aus diesen Werten lässt sich ablesen in welchen Bereichen das Soll erfüllt, in welchen es unter- und in welchen es übertroffen wurde. So lässt sich auch leicht erkennen in welchen Bereichen verstärkt gearbeitet werden muß um die Risikovorstellung des Managements zu erfüllen. Veranschaulicht wird dieser Ist-Soll-Vergleich mittels des Riskographen (siehe Abbildung 5.1 und Abbildung C.10), in welchen nun auch die Soll-Vorgaben eingetragen wurden. Zudem wird in einem Balkendiagramm (siehe Abbildung C.11) die prozentuale Abweichung vom Soll für jeden Teilbereich dargestellt. Die Berechnung der benötigten Werte wird im Folgenden skizziert (siehe Kapitel und ). Aus dieser Sichtweise ist es noch nicht möglich, zu entscheiden, ob die Verteilung des Etats im Sinne des Managements geschah oder nicht, womit auch die Ursache für dieses Nicht-Erreichen nicht ausgemacht werden kann. Denkbare Gründe für ein Verfehlen der Richtlinien wären: Schlechte Effizienz Lösung: Effizienz ist von den IS-Experten zu steigern Falsche Verteilung der Geldmittel Lösung: Restrukturierung der Ausgaben durch die IS-Experten Zu dünne Finanzausstattung Lösung: Anpassung der Risikovorgaben bzw. der Investitionen seitens des Managements Um diese kombinierte Sichtweise tatsächlich zu erhalten, ist zunächst eine quantitative Erweiterung der IRS notwendig, welche in den darauf folgenden Kapiteln aufgezeigt wird (siehe Kapitel 5.3.2). Für den qualitativen Abgleich ist es zunächst notwendig den qualitativen Soll- Zustand zu ermitteln Festlegung der akzeptierten Risikolevel durch das Management Der qualitative Soll-Wert für jeden dieser Teilbereiche wird durch das Management vorgegeben. Dabei ist zu beachten, dass diese Werte die Bereitschaft ein bestimmtes Risiko zu verantworten verkörpern 8. Beispielsweise zeigt ein hoher Ist-Wert des Bereiches Level of Threat, dass eine hohe tatsächliche Bedrohung vorliegt und somit ein großer Schutzbedarf besteht. 8 Dies ist nicht zu verwechseln mit der Aussage den der jeweilge Ist-Wert suggeriert. 48

62 5.3 Vorgehen Ist hingegen die Vorgabe des Managements in diesem Bereich hoch, so besagt dies, dass ein hohes Risiko seitens der Unternehmensführung toleriert wird Berechnung der qualitativen EIRS Die Auswertung der Scorecard ergibt für die fünf Teilrisiken jeweils einen proportionalien Ist-Wert zwischen 0% (kein Risiko) und 100% (maximales Risiko). Die Umrechnung erfolgt in folgenden Schritten (beispielhaft erklärt an Criticality): Mögliche Antworten in den Sektionen Jede Frage aus den einzelnen Sektionen des Fragebogens kann mit einem qualitativen Attribut beantwortet werden. Konkret sind dies die Platzhalter A bis E und X, wobei A dem besten (optimale Ausprägung) bis E dem schlechtesten (negativste Ausprägung) Rating entspricht. X (Don t know) nimmt eine Sonderstellung ein und trägt dem Umstand Rechnung, dass der Bearbeiter nur lückenhafte Informationen besitzt bzw. dass der zu betrachtende Aspekt bisher im Unternehmen nicht berücksichtigt wurde. Ausgehend von diesen Bewertungen ist eine numerische Berechnung der jeweiligen Merkmale notwendig, um diese dann als Werte für das Diagramm sowie für weiterführende Berechnungen zur Verfügung zu haben. Zuordnung von Werten zu möglichen Antworten Jeder möglichen Antwort wird ein Zahlenwert zugeordnet, dabei wird der Negativeste der höchste, der Positivsten der kleinste Wert (also 0) zugeordnet. Im Beispiel würde damit folgende Zuordnung gelten 10 : A = 0, B = 1,...,E = 4 und X = Um für jede Sektion eine prozentuale Risikoaussage treffen zu können, ist zunächst die Bestimmung der Maximalpunktzahl mit anschließender Normierung notwendig. 9 In einem neuen Geschäftsbereich könnte das Management beispielsweise anfänglich bereit sein, ein höheres Risiko zu tragen. 10 Der Bereich Criticality bietet folgende Möglichkeiten zu antworten: A - Extremely Serious Harm, B - Very Serious Harm, C - Serious Harm, D - Minor Harm, E - No Significant Harm, X - Don t Know 11 Die Antwort Don t Know ist von den möglichen Antworten die negativste, denn sie drückt aus, dass sich der Betreffende um diesen Umstand noch keine Gedanken gemacht hat. 49

63 5 Extended Information Risk Scorecard (EIRS) Normierung auf das Maximum Der Maximalwert einer Sektion wird ermittelt, indem der numerische Wert der negativsten Antwort 12 mit der Anzahl der Fragen des Teilbereichs multipliziert wird.das Ergebnis wird im Anschluss auf 100% normiert, so dass ein Normfaktor vorliegt, mit welchem die Teil-Risiko-Level bestimmt werden können. absolutesm aximum = anzahlf ragen negativsteantwort (5.1) Im Beispiel... Criticality umfasst acht Fragen mit der negativsten Antwort E (das entspricht dem Wert 4). absolutesmaximum = anzahlfragen negativsteantwort = = 8 4 = 32 Dieses absolute Maximum wird nun auf 100% normiert: Im Beispiel... normf aktor = normf aktor = 100 absolutesm aximum 100 absolutesmaximum = (5.2) Berechnung der Normierung (Ist-Wert) Mit diesem Normierungsfaktor ist es nun möglich den Wert des tatsächlichen Teilrisikos zu berechnen. Dazu werden zunächst alle Werte der gegebenen Antworten aufaddiert und anschließend anhand des Normierungsfaktors umgesetzt. antwortsumme = n antwort i (5.3) i=1 risikowert = normfaktor antwortsumme (5.4) 12 Don t Know spielt eine außergewöhnlich negative Rolle, weshalb der nächst niedrigere Wert als negativste Antwort für die Normierung gewertet wird, dies führt in der weiteren Berechnung zu folgendem Sachverhalt: Werden alle (oder sehr viele) Fragen mit Don t know beantwortet, resultiert dies (möglicherweise) in einem Risikowert jenseits der 100%. 50

64 5.3 Vorgehen Im Beispiel... Die Antworten auf die acht Fragen waren in diesem Beispiel: C, C, D, D, C, C, B und B 8 antwortsumme = antwort i = i=1 = = = 16 risikowert = normfaktor antwortsumme = = = Demnach hätte im Beispiel der Bereich Criticality den Wert 50% als Ist- Wert Ergebnis der qualitativen EIRS Das Ergebnis dieser Berechnungen sind fundierte Aussagen zum qualitativen Ist-Zustand, als auch Aussagen zu dessen Abweichungen vom Soll-Zustand (welcher aus den Richtlinien der Unternehmensführung hervorgeht). Finanzielle Aspekte wurden jedoch noch nicht betrachtet, so wäre beispielsweise eine Situation vorstellbar, in welcher die qualitativen Vorgaben eines Teilbereichs erfüllt, aber nicht effektiv genug gewirtschaftet wurde. Folglich wären auf diesem Gebiet zu große Investitionen auf dieses erreichte Ziel verwendet worden. Die im Folgenden vorgestellte Erweiterung trägt dem Rechnung und ermöglicht eine derartige Sichtweise Quantitativer Teil der EIRS Analog zum qualitativen Bereich wird zunächst der quantitative Ist-Soll- Zustand festgestellt und im Anschluss daran, ein Teilresumé gezogen, welches die Investitionsverteilung ausdrückt. (Im Gegensatz zum qualitativen Ergebnis, welches die Risikoverteilung repräsentiert.) Zur Berechnung wird dieselbe Aufteilung in die fünf Teilbereiche verwendet, die schon aus dem qualitativen Aspekt der EIRS bekannt ist. Am Ende dieser 51

65 5 Extended Information Risk Scorecard (EIRS) Berechnungen, ist es möglich einen Ist-Soll-Vergleich anzustellen, aus welchem eventuell anfallende Abweichungen vom Soll-Invest quantitativ erfassbar sind Quantitativer Ist-Soll-Vergleich In dieser quantitativem Betrachtung können drei Aspekte miteinander verglichen werden: Invest-Vorgabe das Managements (prozentualer Anteil der Gesamtinvestition oder der tatsächliche Geldbetrag) Tatsächlicher Ist-Invest (prozentualer Anteil der Gesamtinvestition oder der tatsächliche Geldbetrag) Abweichung (prozentualer Anteil der Gesamtinvestition oder der tatsächliche Geldbetrag) Aus diesen Werten kann eine Investitionslandschaft abgeleitet werden, welche zeigt, in welchen Bereichen das Soll erfüllt, in welchen unter- und in welchen überinvestiert wurde. Abweichungen können damit lokalisiert und die zukünftig zur Verfügung stehenden Mittel im Sinne des Managements verteilt werden. Zur Visualisierung dienen (analog zum qualitativen Teil) zwei Diagramme: das Eine lehnt sich an die Risikodarstellung in Form eines Netzdiagrams an (siehe Abbildung C.12), das Zweite an das Abweichungs-(Balken-)- Diagramm (siehe Abbildung C.13) Berechnung des Soll-Invests (100-x)%-Regel Um das Soll-Invest zu ermitteln ist ein Umweg über die qualitative Risikovorgabe des Managements notwendig. Diese lässt sich direkt auf den quantitativen Defaultwert umlegen, so dass am Ende die benötigten Werte zur Verfügung stehen, was im Folgenden exemplarisch an Criticality erläutert werden soll: Grundlegendes Angenommen das Management wäre bereit das theoretisch maximale (qualitative) Risiko in einem Teilbereich zu tragen, dann wäre die Vorgabe für diesen Bereich auf 100% gesetzt. Implizit bedeutet dies, dass das Management nicht bereit ist, Finanzmittel für Investitionen in diesem Bereich bereit zu stellen. 52

66 5.3 Vorgehen Weiterhin angenommen, in einem anderen Teilbereich würde das qualitative Soll bei x% liegen, so kann man schlussfolgern, dass das Management bereit ist, für den Bereich zwischen x% und 100% zu investieren. Dieser Bereich entspricht dem nicht getragenen Risiko. Qualitative Schutzbereiche und Normierung Dies lässt sich nun ebenfalls ausdrücken durch: schutzbereich teilbereich = (100 x) (5.5) Diese Berechnung wird für alle fünf Teilbereiche durchgeführt. Damit ist bekannt, für welche Risiken das Management bereit ist zu investieren. Im Beispiel... Criticality hat in dem erläuterten Beispiel die qualitative Risikovorgabe von 70%. schutzbereich Criticality = (100 70) = 30 Um nun diese qualitativen Schutzbereiche auf die quantitativen Vorgaben umlegen zu können, ist zunächst eine Normierung notwendig. Dazu werden alle qualitativen Defaultwerte aufaddiert und das Ergebnis von der maximal möglichen Gesamtvorgabe von 500% (5 100% = 500%) abgezogen, was der Summe aller qualitativen Schutzbereiche enstspricht. summeschutzbereiche = 500 qualitativevorgabe teilbereich (5.6) Anschließend muss dieser Wert auf 100% normiert werden. normfaktor = 100 summeschutzbereiche (5.7) Im Beispiel... Die Teilbereiche haben folgende qualitative Vorgaben: 1. Control Weakness = 50% 53

67 5 Extended Information Risk Scorecard (EIRS) 2. Special Circumstances = 85% 3. Business Impact = 20% 4. Level of Threat = 5% 5. Criticality = 70% summeschutzbereiche = 500 qualitativevorgabe teilbereich = = 500 ( ) = = normfaktor = summeschutzbereiche = = Invest-Vorgaben der Teilbereich Anhand dieses Normierungsfaktors ist es möglich, die geplante Invest- Vorgabe pro Teilbereich aus dem Gesamtetat zu bestimmen. sollanteil teilbereich = schutzbereich teilbereich normfaktor (5.8) sollinvest teilbereich = sollanteil teilbereich gesamtinvest (5.9) Im Beispiel... Der Gesamtetat beträgt e sollanteil Criticality = schutzbereich Criticality normfaktor = = % = = 11, % sollinvest Criticality = sollanteil Criticality gesamtinvest = = 11, % e = = e , 33 Mit dieser Berechnungsmethode können nun alle Soll-Investitionen in den fünf Teilbereichen bestimmt werden. 54

68 5.3 Vorgehen Erfassung des Ist-Investments Zur Bestimmung der Ist-Investments der Teilbereiche werden die zusätzlich abgefragten Informationen aus der Sektion Management der EIRS herangezogen (siehe Kapitel und Abbildung C.3). In dieser Erweiterung zur IRS werden alle Ausgaben, die für IS getätigt wurden, erfasst und gemäß ihrer Verwendung prozentual auf die fünf Teilbereiche aufgeteilt, was bereits dem Ist-Invest der quantitativen EIRS entspricht. Üblicherweise setzten sich IS-Budgets (u.a.) aus den Bereichen Konzept, Hard- und Software sowie Personal zusammen. Somit könnte beispielsweise der Investitionsbereich Personal mit e beziffert sein. Eine mögliche Aufteilung (zu gleichen Teilen) auf die Teilbereiche könnte dann lauten: 1. Control Weakness e Special Circumstances e 0 3. Business Impact e Level of Threat e 0 5. Criticality e Diese Angaben repräsentieren somit in Summe den quantitativen (monetären) Ist-Zustand Ergebnis der quantitativen EIRS Das Ergebnis dieser Berechnungen sind fundierte Aussagen zum Ist- Investment, als auch Aussagen zu dessen Abweichungen vom Soll. Aus dieser Sichtweise heraus ist es jedoch noch nicht möglich Schlussfolgerungen über Investitions- bzw. Einsparungsbedarf mit Rücksicht auf die qualitative Risikosituation (Ist- und Soll-Zustand) zu tätigen. Um diese allumfassende Sichtweise zu verwirklichen, wird in einem letzten Schritt die qualitative Sichtweise mit der quantitativen vereint. Das führt dazu, dass detaillierte Aussagen über Abweichungen und deren mögliche Ursachen möglich sind. 55

69 5 Extended Information Risk Scorecard (EIRS) RoSI - Die Kombination aus qualitativer und quantitativer EIRS Die Verbindung zwischen der qualitativen und der quantitativen Sicht ermöglicht es nun erstmals Aussagen über die Effektivität von IS-Investitionen zu tätigen, je höher die Effektivität, desto niedriger ist das Investment in einem Teilbereich bei gleichzeitig niedrigem proportionalen Riskio (bezogen auf die qualitativen Vorgaben des Managements). Ziel ist es in allen Teilbereichen die qualitativen Vorgaben des Managements mit dem zur Verfügung stehenden Etat einzuhalten. Wird in einem Bereich nicht effektiv gearbeitet und fehlen somit Mittel für einen anderen Aspekt, so soll dies durch diese Erweiterung angezeigt werden. Dazu wird ein Balkendiagramm benützt (siehe Abbildung C.14), welches für jeden Teilaspekt zwei Werte visualisiert, zum Einen die Abweichung vom qualitativen und zum Anderen die Abweichung vom quantitativen Soll. Dies ermöglicht es, eindeutig jene Bereiche zu identifizieren, in welchen die Effektivität hoch und in welchen diese niedrig ist. Diese Erkenntnisse stellen eine fundierte Basis dar, auf welcher weiterführende, strategische Entscheidungen getroffen werden können. Auch eine Überprüfung der Vorgaben ist somit möglich: Werden beispielsweise die qualitativen Defaultwerte in Summe nicht erreicht, deutet dies zum Einen auf eine mangelnde finanzielle Ausstattung hin, womit ein Mehrinvestment notwendig wäre, um die gesteckten, qualitativen Ziele zu erreichen. Andererseits wäre es ebenso denkbar, dass ein deutlich höheres Sicherheitslevel (mit niedrigerem Finanzbedarf) erreicht wurde als erwartet, was auf ein bedeutendes Sparpotential hinweisen würde. Mit dieser Kombination ist also die geforderte Überprüfung des Ist- Soll-Zustandes gewährleistet. Fügt man dieses Vorgehen in einen Geschäftsprozess ein, ist es möglich, eine kontinuierliche Überprüfung und somit eine dynamische Verbesserung der Information Security zu erreichen Einbettung der EIRS in einen prozessorientierten Ablauf Die eigentliche Stärke der EIRS liegt in der prozessorientierten Anlage (siehe Abbildung C.1). Diese gewährleistet eine kontinuierliche Überprüfung der qualitativen und quantitativen Ist-Zustände und ermöglicht ebenso eine schnelle Adaption von wechselnden Soll-Vorgaben (sowohl qualitativ als auch quantitativ) seitens des Managements. 56

70 5.4 Vor und Nachteile Dabei bleibt fest zu halten, dass das Management die Verantwortung für die Positionierung des Unternehmens in den fünf Kriterien trägt, sowie die Bereitstellung der dazu notwendigen Mittel gewährleistet. Im Gegenzug liefern die Experten die Umsetzung der Vorgaben, sowie die Daten die zur Erfassung notwendig sind. Beide Parteien nehmen an der Bewertung der Situation teil und ergreifen anschließend geeignete Maßnahmen zu deren Verbesserung. Dabei passt das Management die Vorgaben an die derzeitige weltweite Gefahrenlandschaft an, die Experten verwirklichen diese Vorgaben und führen die Befragungen im Rahmen der EIRS durch, um die aktuelle Sitation erfassen zu können. Bettet man diese Schritte, wie angeregt, in einen Prozess, so ergibt sich die angesprochene kontinuierliche Überprüfung der Risikosituation. Auch sind in diesem Ablauf Arbeitsschritte zu integrieren, welche es ermöglichen sinnvolle Maßnahmen zu identifizieren und deren Durchführung fundiert zu testen, was wiederum in einer simulierten Strategieplanung resultiert. Das Management ist ebenfalls dazu angehalten, die qualitativen und quantitativen Vorgaben kontinuierlich anhand der Ergebnisse der EIRS zu überprüfen und anzupassen, dieser Prozess gewährleistet eine realistische Positionierung der Defaultwerte, womit die EIRS nicht nur zur Überprüfung der aktuellen Risikosituation und der Kontrolle der Vorgaben dient, sondern sie liefert auch eine Argumentatiosngrundlage, auf welcher die Verteidigungsstrategie eines Unternehmens festgelegt werden kann. 5.4 Vor und Nachteile Die (E)IRS ist das einzige der untersuchten Modelle, das über eine integrierte Datenbeschaffung verfügt. Auch wenn diese noch verbesserungswürdig ist, zeigt sie dennoch auf, wie ein qualitatives Risk-Assessment in ein quantitatives Verfahren eingebettet werden kann. Aufgrund der klar definierten Schnittstelle zu den finanziellen Gesichtspunkten (100-x% Regel), kann dieser Teil jedoch modulartig ausgetauscht und auf unternehmensspezifische Bedürfnisse angepasst werden. Durch diese Datenbeschaffung ist es zudem möglich, im Lauf der Zeit, eine Datenbasis aufzubauen, welche detailliert die Entwicklung der Sicherheitsmaßnahmen gegen die Richtlinien der Unternehmensführung dokumentiert. Diese Aufzeichnungen könnten zur nachträglichen Rechtfertigung einer IS- 57

71 5 Extended Information Risk Scorecard (EIRS) oder zukünftige Entscheidungen maßgeblich untermau- Strategie dienen 13 ern. Diese guten Dokumentationsmöglichkeiten der EIRS sind ebenfalls in dem bislang einzigartigen, prozessorientierten Abgleich zwischen Ist- und Soll- Zustand begründet. Die Kombination aus den beiden qualitativen und quantitativen Bausteinen führt desweiteren zu der Möglichkeit einer detaillierten Effektivitätsbetrachtung, welche in keinem der analysierten Modelle sonst zu finden ist. Die weitreichende Integration der Unternehmensführung, welche diesen Abgleich gegen die Richtlinien erst ermöglicht, ist ein weiterer Positiv-Aspekt. Denn durch die Teilung der Verantwortlichkeiten, kommt es zu einer Sensibilisierung des Managements, welche zu realistischeren Vorstellungen hinsichtlich der IS-Strategie führt. Auch werden quantitative Schadensangaben, welche in den restlichen, untersuchten Methoden zur RoSI-Berechnung notwendig sind, nicht benötigt. (Wie bereits in Kapitel aufgezeigt ist die Angabe von Durchschnitts- bzw. Maximalschäden in den meisten Fällen nicht möglich, woraus erhebliche Nachteile für die alternativen Modelle enstehen.) Durch die klare Trennung von qualitativen und quantitativen Aspekten, entsteht ein weiterer Positiv-Effekt. Denn diese Separation ermöglicht eine Bearbeitung durch Experten, was in einer höheren Genauigkeit des Endergebnisses resultiert. Zuletzt sei noch auf die große Akzeptanz des Ansatzes verwiesen, welche durch den hohen Bekanntheitsgrad des Balanced Scorecard-Gedankens begründet ist. Es existieren jedoch auch Nachteile der EIRS. So fällt auf, dass am Ende der Berechnungen keine eindeutige RoSI-Kennzahl steht, stattdessen findet sich lediglich ein Vergleich, welcher die Abweichung von den Richtlinien der Unternehmensführung verdeutlicht. Folglich kann auch keine Entscheidung auf der Basis einer Renditekennzahl getroffen werden. Allerdings bietet das Verfahren dennoch die Möglichkeit, Alternativen sowohl qualitativ als auch quantitativ zu vergleichen, weshalb das Fehlen dieser Kennzahl nicht so sehr ins Gewicht fällt. Um den angesprochenen finalen Ist-Soll-Abgleich zu ermöglichen, sind jedoch zunächst Vorgaben seitens des Managements zu machen. Bei der ersten Iteration des Prozesses sind deshalb Fehler aufgrund von Fehleinschätzungen 13 Beispielsweise im Rahmen eines juristischen Prozesses. 58

72 5.5 Erste Evaluierung unausweichlich, weshalb eine sofortige, unmittelbare Einsetzbarkeit nicht vorhanden ist. Soll die Methodik angewandt werden, sind umfangreiche Vorarbeiten und Dryruns notwendig, um seriöse Ausgangsdaten für die Defaultwerte zu erhalten. Auch wenn D.C.Loomans das Verfahren für alle Granularitätsstufen einsetzen möchte, eignet sich das Modell nur für eine strategische Planung, da eine fundierte Beschaffung der Ausgangsdaten auf niedrigerer Ebene kaum möglich ist. Hinzu kommt, dass für Projektentscheidungen andere, prädestiniertere Ansätze, wie ALE (siehe Kapitel 4) existieren. Der nächste Punkt, der gegen die EIRS spricht, schließt sich hier nahtlos an, wendet man die EIRS nur auf einer hohen Abstraktionsebene (siehe Kapitel 5.5) an, so sind die resultierenden Kennzahlen prinzipbedingt mit einer gewissen Ungenauigkeit behaftet. Eine Abwägung der Vor- und Nachteile der EIRS rechtfertigten eine Überprüfung der Praktikabilität mittels einer ersten Evaluierung. 5.5 Erste Evaluierung Die Anwendbarkeit der EIRS sollte in einer praxisnahen Evaluierung überprüft werden. Die EIRS wurde dazu in Form eines Excel-Prototypens umgesetzt, mehreren Personen vorgestellt und anschließend von diesen angewandt. Grundlage war exemplarisch die Gesamtheit aller vertraulichen Daten, bzw. die gesamte IT-Infrastruktur der Münchener Rückversicherung. Die Ergebnisse dieser Tests lassen bereits Rückschlüsse auf gewisse Investitionbedürfnisse und -fehler zu. Die erhaltenen Resultate dürfen allerdings nicht überbewertet werden, da die Testpersonen zum einen vollkommen unvorbereitet und zum Anderen noch nicht mit der Methode vertraut waren. Desweiteren standen für die durchgeführten Tests nur begrenzt Zeit zur Verfügung. Die Nachteile des Verfahrens waren in der Studie nicht hinderlich. Jedoch wird erst ein weiterer Einsatz, bzw. eine größer angelegte Studie zeigen, ob sie wirklich nur eine untergeordnete Rolle spielen. Als Ergebnis bleibt fest zu halten, dass ein hohes Interesse an diesem Modell seitens der Münchener Rückversicherung besteht, was sich auch in den Plänen ausdrückt, diesen Ansatz in weiteren Projekten fortzuführen und zu verfeinern. 59

73 5 Extended Information Risk Scorecard (EIRS) 5.6 Bewertung gemäß der Aufgabenstellung Als Abschluß der Evaluierung wurde die Methode gemäß der Aufgabenstellung überprüft und deren Bewertungsmaßstäben (siehe Kapitel 1.2) unterworfen Ist eine Analyse der Sicherheit (bzw. der Gefährdung) IT-gestützter Betriebsabläufe möglich? Ein Risk-Assessment ähnliches qualitatives Verfahren gewährleistet bereits in der zugrunde liegenden Fassung von Loomans (siehe [LOOMANS:2004]) eine umfassende Analyse der Sicherheit. Dazu wurden in dem Ansatz fünf Risiko-Bereiche eingeführt, die unabhängig voneinander zu bewerten sind. Die Kombination aus diesen fünf Bereichen ergibt die aktuelle qualitative Risikosituation. Darüber hinaus ist der Vergleich des Ist- mit dem Soll-Zustand nicht nur möglich sondern auch fest in der Methodik verankert Können IT-Risiken quantitativ bewertet werden? Die quantitative Bewertung der IT-Risiken findet nicht direkt statt, dennoch liefert der Ansatz fundierte Aussagen als Basis zur Investment- Entscheidung, ohne auf die Problematik der Schadensermittlung eingehen zu müssen Ist das Verfahren für das IS-Management im Unternehmen durchführbar? Dieses Verfahren ist für das IS-Management gut anwendbar. Die Studie hat gezeigt, dass es möglich ist eine Basis zur strategischen Investment- Entscheidung zu schaffen. Dies war mit allen bisherigen Methoden nicht möglich. 60

74 5.7 Zusammenfassung und Ausblick 5.7 Zusammenfassung und Ausblick Zusammenfassend lässt sich sagen: Dieses Verfahren ist sehr gut dazu geeignet, strategische Investment-Entscheidungen zu unterstützen, unter der Bedingung, dass einige Vorbedingungen ( Dryruns ) erfüllt wurden. Die Methodik des Ansatzes ist in weiten Teilen entwickelt. Was zu tun bleibt sind weitere Studien zur Durchführbarkeit, eine Überführung des Prototypen in eine Produktivfassung und daran anschließende ausführliche Tests. Bestätigen sich die Hoffnungen der Münchener Rückversicherung, so steht dem IS-Management mit dieser Methodik ein auf ihre Bedürfnisse zugeschnittenes Modell zur Verfügung. 61

75 5 Extended Information Risk Scorecard (EIRS) 62

76 6 Aspect-Oriented Risk-Driven Development (AORDD) Die bisher gezeigten Modelle haben einen gewichtigen Nachteil: Sie sind nicht in der Lage Abhängigkeiten zwischen IS Vorfällen abzubilden. Statt dessen werden Security Incidents isoliert betrachtet. Diese Sichtweise repräsentiert jedoch nicht die Realität, da sehr wohl (starke) Verbindungen zwischen Einzelereignissen bestehen können. So lässt sich beispielsweise das Profil eines klassischen Internet-Angriffs in drei prinzipielle Phasen unterteilen 1 : Phase 1 - Informationsbeschaffung Zunächst wird ein Angreifer darauf angewiesen sein, möglichst viel über sein Ziel in Erfahrung zu bringen. Dafür können unterschiedliche (technische 2 ) Methoden eingesetzt werden, diese reichen von der einfachen Suche nach -Adressen (um so einen Rückschluss auf mögliche Benutzernamen zu erhalten), bis zu IP-Scanning oder Sniffing. Phase 2 - Schwachstellen Analyse Wurden genügend Informationen über das Angriffsziel zusammengetragen, können mögliche Schwachstellen identifiziert werden. Je detaillierter dabei in der ersten Phase vorgegangen wurde, desto schneller kann in diesem Abschnitt die Analyse vorgenommen werden. Dabei reicht die Palette der möglichen Angriffspunkte von bekannten nicht gepachten Browsern, über schlecht gewartete Firewalls bis hin zur Kryptoanalyse. Phase 3 - Tatsächlicher Angriff Im besten Fall weist die vorhergehende Analyse auf bekannte Schlupflöcher hin - dann können zumeist existierende Exploits eingesetzt werden, womit der Aufwand für einen Angreifer ganz erheblich fällt. Ist dies nicht der Fall, muss zunächst ein (individueller) Exploit entwickelt werden, um diesen dann anschließend zum Einsatz bringen zu können. Wie aus diesem kurzen Exkurs zu ersehen ist, existieren (meist sequentielle) Abhängigkeiten zwischen einzelnen, für das Unternehmen erkennbaren Vorfällen, die eine unmittelbare Auswirkung auf die Risikosituation und somit 1 Eine Einleitung in die Thematik Internet-Angriff findet sich in [HEISE(2):2005]. 2 Nicht technische Möglichkeiten wären beispielsweise Social Engineering oder ein physischer Einbruch 63

77 6 Aspect-Oriented Risk-Driven Development (AORDD) auf die RoSI-Problematik haben. So wäre es zum Beispiel nachvollziehbar, von einem durch eine IS Instanz (z.b. IDS) erkannten IP-Scanning auf einen bevorstehenden Angriff zu schließen. Demzufolge ist auch ein RoSI-Modell wünschenswert, welches derartige Abhängigkeiten berücksichtigt und somit Investitionen unterstützt, welche einen derartigen Angriff in dieser frühen Phase abblocken. Dazu ist es notwendig, nicht nur die unmittelbaren, sondern auch die durch diese Vorfälle bedingten, zukünftigen Risiken und Schäden zu bestimmen. Im Beispiel des erkannten IP-Scannings ist das unmittelbare Risiko und der damit verbundene Schaden nicht existent, demnach wäre die logische Schlussfolgerung bei Verwendung einer isolierten Betrachtung: Eine Investition in Prävention ist nicht sinnvoll. Betrachtet man hingegen mögliche Folgen dieses Vorgangs, kann es durchaus Sinn machen (wie im Beispiel), dies zu unterbinden. Siv H. Houmb hat in ihrem Aspect-Oriented Risk-Driven Development [HOUMB:2004] Ansatz einen ersten Schritt in diese Richtung getan. Die dazu notwendigen Grundlagen, der Ansatz und die Weiterentwicklung sollen im Folgenden aufgezeigt werden. 6.1 Methodik Siv Houmb bedient sich in ihrem Ansatz zweier neuartiger Techniken, um der qualitativen Situation von bedingten Ereignissen gerecht zu werden. Zum Einen benützt sie ein aspektorientiertes und risikobezogenes ( Aspectoriented Riskdriven ) Framework, um möglichst einfach auf eine geänderte Ausgangssituation, wie beispielsweise eine neu hinzugekommene IS Maßnahme oder eine neue Angriffstechnik reagieren zu können. Zum Zweiten setzt sie zur Entscheidungsfindung ein Bayesian Belief Network (BBN) ein, welches es ihr ermöglicht, tatsächliche Abhängigkeiten zwischen Ereignissen zu modellieren. Da beide Techniken noch nicht stark verbreitet sind, sollen sie im Folgenden kurz vorgestellt und anschließend ihre Integration in das Modell von Siv Houmb gezeigt werden. 64

78 6.1 Methodik Abbildung 6.1: Verbindung der Teiltechnologien Grundlagen Was verbirgt sich hinter Aspektorientierung? (AO) AO repräsentiert den Stand der aktuellen Forschung aus dem Bereich des Software Developments und ist die logische Weiterentwicklung der Objektorientierung (OO). Diese gewährleistet durch Kapselung und Vererbung einen hohen Grad an Wiederverwendbarkeit, dennoch gibt es Funktionalitäten (z.b. Logging Mechanismen) die über sehr viele Klassen verteilt realisiert werden müssen. Somit sind Komponenten die nachträglich hinzukommen zwar durch die Objektorientierung schneller zu entwickeln, aber dennoch an (sehr) vielen Stellen 3 im ursprünglichen Code zu verankern. Diese Arbeiten müssen manuell durchgeführt werden, womit dieser Arbeitsschritt einen nicht unerheblichen Aufwandsfaktor repräsentiert. Die Aspektorientierung (AO) geht nun einen Schritt weiter und kapselt Codefragmente, die in ihrer Gesamtheit Crosscutting Concerns darstellen. Beispielsweise werden alle Klassen zusammen gebunden, welche für den oben angesprochen Logging Mechanismus notwendig sind. Die revolutionäre Weiterentwicklung ist, dass diese Aspekte automatisch von einem Composer oder Aspectweaver in den Orginalcode eingebettet werden. Somit ist eine manuelle Anpassung des Basis-Projektes nicht mehr notwendig - was wiederum ein erhebliches Einsparpotential repräsentiert. Zudem erhöht sich der Grad an Wiederverwendbarkeit, da keinerlei spezifische Anpassung an einem Aspekt vorgenommen werden muss, um diesen in einem anderen Coderahmen zu verwenden. Diese Technik erlaubt es Siv H. Houmb, aktuelle Vorfälle oder Maßnahmen in ihr Modell zu integrieren ohne diese tatsächlich bei der Erstellung des Modells nennen bzw. berücksichtigen zu müssen. 3 Die Komplexität hängt natürlich ganz davon ab wie flexibel das Basis-Projekt geplant wurde. 65

79 6 Aspect-Oriented Risk-Driven Development (AORDD) Das zweite von Siv Houmb eingesetzte Verfahren ist ein Bayesian Belief Network, welches die eigentliche Entscheidungsgrundlage liefert Was ist ein Baysian Belief Network (BBN)? Mit Hilfe dieser Technologie können prinzipielle Abhängigkeiten zweier oder mehrerer Ereignisse modelliert werden. Um dies gewährleisten zu können, werden bedingte Wahrscheinlichkeiten eingesetzt, welche vorhergehende bzw. beeinflussende Ereignisse berücksichtigen. Veranschaulichen kann man ein derartiges Netz am besten an einem Beispiel: Ein elektrisches Codeschloß hat einen Wackelkontakt, was bedeutet, dass mit einer Wahrscheinlichkeit von P 1 = 60% das Schloss nicht mit Strom versorgt ist. Zudem ist sich der Benützer mit der Zahlenkombination nicht sicher. Er geht davon aus, dass er sie nur noch mit einer Wahrscheinlichkeit P 2 = 15% richtig hinbekommt. Gefragt ist nach der Wahrscheinlichkeit mit welcher sich das Schloss nicht öffnen lässt. Die Lösung kann das BBN aus Abbildung 6.2 liefern. Abbildung 6.2: BBN-Beispiel: elektronisches Codeschloss Bei den Knoten Wackelkontakt und Kombination handelt es sich um so genannte Input-Nodes. Jeder der Beiden setzt sich aus zwei states zusammen, mit deren Hilfe die vier grundlegenden Ereignisse modelliert werden können, die diese Situation beeinflussen 4. Wackelkontakt(keinStrom) = Wahrscheinlichkeit dass kein Strom anliegt (P (keinstrom) = P 1 ) Wackelkontakt(strom) = Wahrscheinlichkeit dass Strom anliegt (P (strom) = 1 P 1 ) 4 Die Schreibweise setzt ein Ereignis aus Knotenname und dem state zusammen 66

80 6.1 Methodik Kombination(falsch) = Wahrscheinlichkeit dass die Kombination falsch ist (P (falsch) = 1 P 2 ) Kombination(richtig) = Wahrscheinlichkeit dass die Kombination richtig ist (P (richtig) = P 2 ) Diese Ausgangswerte werden nun in dem Output-Knoten Schloss zusammengefasst. Auch dieser verfügt über zwei states: offen und geschlossen. Für diese sind ebenfalls Eintrittswahrscheinlichkeiten anzugeben, allerdings sind in diesem Schritt die vorhergehenden Ereignisse zu berücksichtigen, es handelt sich also um bedingte Wahrscheinlichkeiten. Diese Werte können der Tabelle 6.1 entnommen werden: Kombination richtig falsch Wackelkontakt strom keinstrom strom keinstrom offen 100% 0% 0% 0% geschlossen 0 % 100 % 100 % 100 % Tabelle 6.1: BBN-Beispiel: Bedingte Wahrscheinlichkeiten Sind diese Basiswerte vorgegeben kann mit Hilfe des BBN die Wahrscheinlichkeit (P (geschlossen)) für das Ereignis Schloss(geschlossen) berechnet werden (Toolumsetzung: siehe Abbildung 6.3). Abbildung 6.3: BBN-Beispiel: Realisierung des Codeschlosses in einer Umgebung der Fa. Hugin Da die ursprünglichen Ereignisse unabhängig sind, gilt: P (a b) = P (a) P (b) (6.1) Somit können die fehlenden Werte berechnet werden: 67

81 6 Aspect-Oriented Risk-Driven Development (AORDD) P (richtig strom) = P (richtig) P (strom) = = 0, 15 0, 4 = 0, 06 P (falsch strom) = P (falsch) P (strom) = = 0, 85 0, 4 = 0, 34 P (richtig keinstrom) = P (richtig) P (keinstrom) = = 0, 15 0, 6 = 0, 09 P (falsch keinstrom) = P (falsch) P (keinstrom) = = 0, 85 0, 6 = 0, 51 Aus diesen kann nun die gesuchte Wahrscheinlichkeit P (offen) abgeleitet werden: P (geschlossen) = P richtig strom (geschlossen) P (richtig strom) + +P falsch strom (geschlossen) P (falsch strom) + +P richtig keinstrom (geschlossen) P (richtig keinstrom) + +P falsch keinstrom (geschlossen) P (falsch keinstrom) = = 0 0, , , , 51 = = 0, 94 Diese Art der Modellierung erlaubt es Ausgangswerte für den Output Node vorzugeben, um so rekursiv die dazu nötigen Eingangswerte zu berechnen - als Resultat liefert das Verfahren die anzustrebenden Eingangswerte. Soll beispielsweise im obigen Rechenexempel sichergestellt werden, dass das Schloss mit einer Wahrscheinlichkeit von 60% zu öffnen ist (also P (geschlossen) = 1 0, 6 = 0, 4), so kann dies vorgeben werden und erhält damit die zu realisierenden Eingangswerte (Toolumsetzung: siehe Abbildung 6.4): p(richtig) = p(falsch ) = p(strom ) = p(keinstrom ) = Ein derartiges Verfahren ist prädestiniert, um komplexe, von einander abhängige Ereignisse zu modellieren. Aus diesem Grund wurde diese Technik von Siv Houmb angewandt um die vielschichtige Struktur einer RoSI - Berechnung abzubilden. Da dieses Verfahren als Ausgangsbasis für das vorliegende Modell dient, soll es im Folgenden kurz beschrieben werden. 68

82 6.1 Methodik Abbildung 6.4: BBN-Beispiel: Rückschluss von den Ausgangswerten auf die Eingangswerte Ansatz von Siv Houmb Das in [HOUMB:2005] vorgestellte AORDD Framework sieht eine RoSI- Analyse in zehn Schritten vor (siehe Abbildung 6.5). Die Schritte eins bis drei entsprechen dem oben angesprochenen automatischen Verfahren, mit welchem neue Aspekte in ein bestehendes Modell integriert werden. Dabei sind in dieser Methodik Gesichtspunkte als Aspekte erfasst, die eine RoSI- Berechnung beeinflussen. Dazu zählen beispielsweise eine Veränderung der Risikosituation, neue gesetzliche Voraussetzungen und so weiter. Der Prediction Manager fordert in Schritt fünf und sechs die zur Berechnung notwendigen Wahrscheinlichkeiten bei einem Estimation Repository an und speichert diese in der Node Probability Table (NPT). Anschließend wird das BBN im Schritt sieben und acht berechnet und das Ergebnis mit neun und zehn zurückgegeben. Die BBN-Topologie ist im Wesentlichen in zwei Bereiche geteilt. In den Acceptance Level (AL) und in den Security Level (SL). Beide Teile sind am Ende mit Hilfe von Priorities (PR) im Knoten RoSI in Einklang zu bringen (siehe Abbildung 6.6). Der AL-Bereich setzt sich aus den Werten Budget (BU), Business Goals (BG), Law and Regulations (LR), Security Acceptance Criteria (SAC) und Policies (POL) zusammen. Er bestimmt damit den angestrebten Sicherheitsstandard. Der SL-Bereich bildet die derzeit aktuelle Risikosituation ab und setzt sich aus den Subnetzen Static Security Level (CCEAL), Dynamic Security Level (OSDL) und Treatment Level (TL) zusammen. CCEAL repräsentiert dabei den Reifegrad der implementierten Common Criteria 5 (siehe Abbildung 6.7), OSDL bildet das Ergebnis eines Risk-Management Standards [ASNZS:1999] ab (siehe Abbildung 6.8) und TL beinhaltet die eingesetzte Verteidigungsstrategie 5 festgelegte, standardisierte Maßnahmen 69

83 6 Aspect-Oriented Risk-Driven Development (AORDD) Abbildung 6.5: AORDD Framework (siehe Abbildung 6.9). Das Verfahren profitiert von den neuen Technologien (AO und BBN) in ganz erheblichem Maße. Das BBN liefert die einzigartige Möglichkeit, Abhängigkeiten aufgeschlüsselt und detailliert abbilden zu können. Zudem ist das Ergebnis durch die Aspektorientierung variabel an geänderte Ausgangssituationen anpassbar. Eine Simulation von systematisch modifizierten Ausgangswerten kann so zu einer nachvollziehbaren Entscheidungsgrundlage führen. Allerdings existieren auch erhebliche Mängel an diesem Vorgehen. Keine quantitative Einteilung Durch die Vergabe der states low, medium und high für das Resultat RoSI sind zwar bedingt quantitative Aussagen möglich, doch eine tatsächliche monetäre Schlussfolgerung ist nicht vorgesehen. NPT Die NPT beinhaltet die (bedingten) Wahrscheinlichkeiten auf welchen das BBN aufgebaut ist. Da es sich bei manchen der Zwischen-Knoten jedoch um verhältnismäßig weiche Punkte handelt, können diese nur von Experten abgeschätzt werden, messbar sind sie nicht. So ist beispielsweise der Effekt aller eingesetzten Maßnahmen im Teilbereich TL anzugeben. Dieser kann (ohne weitere Verfahren) jedoch nur von Fachleuten und nur mehr oder minder grob veranschlagt werden. BBN Die tatsächlichen Stärken eines BBN werden nicht genutzt. Statt des- 70

84 6.1 Methodik Abbildung 6.6: Ursprüngliches BBN: Gesamtnetz sen werden die prinzipbedingten Schwächen 6 durch die Topologie von Siv Houmb dadurch unterstützt, dass sie oben genannte, nicht messbare weiche Kriterien als Knoten abbildet. So stellt sich die Frage warum das BBN nicht deutlich stärker technisch ausgerichtet wurde. Wäre dies geschehen, bestünde die Möglichkeit, die zur Berechnung notwendigen Werte durch Messung bestimmen zu können. Damit wäre ein Hauptargument gegen die Verwendung eines BBNs teilweise 7 entkräftet. Um diese Mängel zu beheben wurde das BBN komplett neu entworfen. Das aspektorientierte Framework konnte hingegen übernommen werden. Resultat ist eine stark technisch orientierte Methodik, welche es in einem ersten Schritt erlaubt sehr detaillierte, qualitative Analysen durchzuführen und im weiteren Vorgehen diese Ergebnisse mit quantitativen Gesichtspunkten zu kombinieren Neuentwicklung des Bayesian Belief Network Der in dieser Arbeit vorliegende Neuentwurf des BBNs fügt sich nahtlos in die Methodik von Siv Houm ein. Durch die Neuorientierung sind jedoch andere, leichter messbare Daten im Estimation Repository zu speichern. Das BBN 6 Diese liegen ganz eindeutig in der Problematik die NPT korrekt zu füllen. 7 Auch bei technischer Ausrichtung stellt die Messbarkeit zum Teil ein Problem dar. 71

85 6 Aspect-Oriented Risk-Driven Development (AORDD) Abbildung 6.7: Ursprüngliches BBN: Teilnetz CCEAL wurde dabei in vier Teilbereiche gegliedert, welche alle bekannten Risikoarten abdecken. Durch die übernommene Aspektorientierung sind einzelne Vorfälle in dieser grundlegenden Designphase auch weiterhin nicht zu beachten, da sie nachträglich als Aspekte hinzugefügt werden können. Die vier Vorfallsarten sind zum Teil als Subnetze realisiert und repräsentieren folgende Risiken (siehe Abbildung 6.10): Malicious Code (MC) (siehe Abbildung 6.11) In diesem Teilnetz sind all jene Risiken abgebildet, die durch bewusst geschriebenen und untergeschobenen Code entstehen. Dazu zählen Viren (VIRUS), Würmer (WORM), Dialer (DIAL) und Trojaner (TROJ). Intrusion (INT) (siehe Abbildung 6.12) Unter diesem Punkt werden all jene Vorfälle zusammengefasst, welche in direktem Zusammenhang mit einem tatsächlichen, spezifischen Angriff auf ein Netzwerk stehen. Dabei wurde ein derartiger Vorfall in drei Phasen untergliedert Information Gathering (IG) (siehe Abbildung 6.13) All jene (technischen) Vorkommnisse die dazu dienen (könnten) Informationen zu sammeln um anschließend einen Angriff zu fahren. Intrusion Attempt (IA) (siehe Abbildung 6.14) Hier sind die prinzipiell möglichen Angriffsmöglichkeiten 8 erfasst. Intrusion Success (IS) (siehe Abbildung 6.15) Dieser Abschnitt bildet mögliche Folgevorfälle eines erfolgreichen Angriffs ab. 8 Known Vulnerabilities (KV), Login Attempts (LA) und New Attacks (NA) 72

86 6.1 Methodik Abbildung 6.8: Ursprüngliches BBN: Teilnetz OSDL Abbildung 6.9: Ursprüngliches BBN: Teilnetz TL Availability (AA) Unter diesem Punkt werden all jene Elemente abgedeckt die ein Verfügbarkeitsrisiko darstellen. Abusive Content (AC) Der letzte Bestandteil des BBN beinhaltet die Risiken die von missbräuchlicher Benützung ausgehen. Um die qualitativen Gesichtspunkte dieser Risiken möglichst exakt ermitteln zu können, wurde jeder (Teil-)Vorfall in die Bereiche incident und risk gegliedert. In incident sollen die Eintrittswahrscheinlichkeiten für einen Vorfall erfasst werden, in risk wird dann die Einteilung in Gefahrenklassen vorgenommen. Weshalb die als Input Nodes dienenden incident Knoten auch lediglich über zwei states (incident und no incident), die risk Knoten dagegen über drei (very serious, serious und not significant) verfügen. Die drei letztgenannten repräsentieren dabei die Einteilung der Vorfälle in die Risikoklassen. Mit dieser Anordnung kann gewährleistet werden, dass das prinzipielle Aufkommen eines Vorfalls unabhängig von seinen tatsächlichen Risiken erfasst werden kann. Aus der qualitativen Risikoeinteilung wird in eine qualitative Schadenseinteilung (damage) übergeleitet. Auch diese Knoten verfügen jeweils über drei 73

87 6 Aspect-Oriented Risk-Driven Development (AORDD) AC MC INT AA = Abusive Content = Malicious Code = Intrusion = Availability Abbildung 6.10: BBN-Neuentwurf: Gesamtnetz states, welche wiederum die Schadensklassen very serious damage, serious damage und not significant damage repräsentieren. Mit Hilfe dieses Konstrukts kann abgebildet werden, dass manche Vorfälle zwar ein hohes qualitatives Risiko darstellen (schnelle Verbreitung, irreparabel, usw.), die durch sie verursachten Schäden jedoch nicht notwendigerweise ebenfalls als very serious einzuschätzen sind. Beispielsweise könnte das qualitative Risiko durch Dialer sehr hoch liegen, in einem Unternehmen das jedoch keine Telefoneinwahl gestattet, wären die durch diese Vorfallsart entstehenden Schäden gleich Null. Als letzter Schritt werden alle Teilschäden zu einem Gesamtschaden zusammengefügt, dies stellt somit den Übergang von qualitativer zu quantitativer Analyse dar. Dabei verfügt der Output Node TOTAL damage über die gleichen states 9, wie die Teilschäden (MC damage, INT damage, AVAIL damage und AC damage). Dieses Vorgehen hat den Vorteil, dass eine detaillierte Gewichtung zwischen den verschieden Teilbereichen möglich ist. Um diese (noch) qualitative Sichtweise in ein quantitatives Ergebnis umformen zu können, ist 9 very serious damage, serious damage und not significant damage 74

88 6.1 Methodik VIRUS = Virus WORM = Worm DIAL = Dialer TROJ = Trojan Abbildung 6.11: BBN-Neuentwurf: Subnetz Malicious Code (MC) es zudem notwendig, den Schadensklassen des Knotens TOTAL damage einen monetären Rahmen zu zuweisen. Dieser Schritt wird von Finanzexperten durchgeführt und ist von jeglicher IS-Betrachtung unabhängig. Ziel ist es ein monetäres Gerüst zu erstellen, aus welchem hervorgeht welche Schäden tolerierbar sind und welche nicht. Ist dies geschehen sind die Übergänge der qualitativen Teilschäden auf den nun quantitativen Knoten TOTAL damage anzupassen. Dazu ist es von Nöten, dass sich Finanz- und IS-Experten verständigen, um so die unternehmenspezifische Zusammensetzung möglicher IS-Schäden festlegen zu können Anwendung des BBN Nachdem das Grundgerüst des Ansatzses bekannt ist, soll an dieser Stelle geklärt werden wie die für die NPT notwendigen qualitativen Ausgangswerte ermittelt werden können. 75

89 6 Aspect-Oriented Risk-Driven Development (AORDD) IG IA IS = Information Gathering = Intrusion Attempt = Intrusion Success Abbildung 6.12: BBN-Neuentwurf: Subnetz Intrusion (INT) Qualitative Vorarbeiten Prinzipiell zielt das Verfahren auf eine Arbeitsteilung ab. So ist vorgesehen, dass ein externer Sicherheitsanbieter die Daten für die Zwischenknoten (sprich die bedingten Wahrscheinlichkeiten) zur Verfügung stellt. Diese können (u.a.) aus einem entsprechend aufgebauten HoneyNet ermittelt werden. Darüber hinaus können noch Daten aus Logfile-Reviews, IDS, IPS, Firewalls, usw. herangezogen werden. Die Eintrittswahrscheinlichkeiten für die Input Nodes sind von dem Unternehmen selbst zu stellen, da diese von der individuellen Ausprägung der eingeleiteten Maßnahmen abhängen. Allerdings ist auch hier Hilfestellung seitens des externen Beraters vorgesehen. Dieser kann aus den statistischen Daten des HoneyNets Anhaltspunkte darüber ableiten, wie effektiv einzelne Maßnahmen sind, um so dem IS-Beauftragten des Unternehmens einen realistischen Rahmen für diese Werte liefern zu können. Desweiteren sind hier statistische Daten heranzuziehen, wie beispielsweise die Logfiles von Firewalls, IDS oder Gatewayscannern, um so die spezifische Genauigkeit der Eintrittswahrscheinlichkeiten zu erhöhen. 76

90 6.1 Methodik SC SN = Scanning = Sniffing Abbildung 6.13: BBN-Neuentwurf: Subnetz Information Gathering (IG) Sind diese Daten aufbereitet und in das BBN integriert, ist eine umfassende qualitative Analyse der Risikosituation möglich, um jedoch eine quantitative Untersuchung durchführen zu können, sind noch die monetären Basiswerte zu bestimmen Quantitative Vorarbeiten Um den Übergang von qualitativer Risiko- zur quantitativen Schadenseinschätzung vollziehen zu können, ist es zunächst notwendig, die Schadensgenzen der Schadensklassen (states des Knotens TOTAL damage) zu definieren. Dabei werden für jeden state eine unternehmensspezifische Unter- und Obergrenze festgelegt. Um die Zuordnung tatsächlich vollziehen zu können, ist es anschließend notwendig die Abhängigkeiten zu den qualitativen Teilschadensklassen ebenfalls individuell anzupassen. Dieser Schritt ist ebenfalls von Finanzexperten des Unternehmens durchzuführen und durch IS Experten zu unterstützen. Wie auch schon für RAT (das qualitative Risk-Assessment-Tool der Münchener-Rückversicherung) angeregt, sollten auch an dieser Stelle die 77

91 6 Aspect-Oriented Risk-Driven Development (AORDD) KV NA LA = Known Vulnerabilities = New Attacks = Login Attempt Abbildung 6.14: BBN-Neuentwurf: Subnetz Intrusion Attempt (IA) betroffenen Geschäftsprozesse auf Abhängigkeiten analysiert werden. Dies erfolgt sinnvollerweise in drei Schritten: Schritt 1 Zunächst werden Bedrohungskataloge erstellt, welche alle potentiellen Schadens-Ereignisse der Vorfallsklassen enthalten. Für den Bereich WORM der Klasse MC kann eine beispielhafte Aufstellung der Tabelle 6.2 entnommen werden. Schritt 2 Anschließend werden die betroffenen Geschäftsprozesse nach den ermittelten Bedrohungen aufgeschlüsselt, um so einen besseren Überblick über die Abhängigkeiten zu erhalten. Beispielhaft kann dies an dem fiktiven Geschäftsprozess Webbased Underwriting (siehe Abbildung 6.16) nachvollzogen werden. Die Visualisierung des Prozesses und der Sicherheitsarchitekturen (siehe Abbildung 6.17) soll dabei die Analyse der Bedrohungen durch einen Wurm unterstützen. Der Geschäftsprozess wurde dazu in so genannte UML-Swimlanes unter- 78

92 6.1 Methodik NPAC PAC APC = Nonprivileged Account Compromise = Privileged Account Compromise = Application Compromise Abbildung 6.15: BBN-Neuentwurf: Subnetz Intrusion Success (IS) teilt. Jede der Bahnen symbolisiert eine Bedrohungs-Berührung 10. Anhand der Anzahl der Kontakte kann im Anschluß die Abhängigkeit von diesen Punkten eingeschätzt werden. (Je mehr Überschneidungunen vorliegen, umso größer ist die Abhängigkeit.) Schritt 3 Sind die potentiellen Bedrohungen geklärt, können im letzten Schritt die entstehenden Kosten durch Finanzexperten besser, weil genauer abgeschätzt werden. Es ist unter Verwendung dieses Vorgehens klar ersichtlich, welche Vorfälle welche Konsequenzen nach sich ziehen, womit natürlich eine quantitative Bewertung stark erleichtert wird Auswertung Nach Abschluss der Vorarbeiten, kann das BBN berechnet werden. Resultat der Berechnung ist eine Aufteilung der Schäden in Schadensklassen mit einer 10 In dem Wurm-Beispiel sind das: http, smtp und tcp 79

93 6 Aspect-Oriented Risk-Driven Development (AORDD) Bereich Bedrohung Bemerkung html Beschädigung von ausgelöst durch die Schadroutine html-inhalten (Code Red) http (teilweiser) Zusammenbruch ausgelöst durch die Ver- des breitungsroutine (Code Netzwerkverkehrs Red) smtp (teilweiser) Zusammenbruch ausgelöst durch die Ver- des breitungsroutine (Sircam, Netzwerkverkehrs Nimda, usw.) sql Integritätsverlust von ausgelöst durch eine SQL-Datenbanken Schadroutine - SQL- Tables werden verändert (Spida) system Ausfall des betroffe- ausgelöst durch eine system nen (Teil-)Systems Ausfall eines entfernten (Teil-)Systems system Verlust von Passwörtern Schadroutine ausgelöst durch eine DDoS-Attacke (Spida, Code Red) ausglöst durch eine Schadroutine - Installation einer Backdoor (MyDoom) tcp/ip (teilweiser) Zusammenbruch ausgelöst durch die Ver- des breitungsroutine (alle Netzwerkverkehrs Würmer) Tabelle 6.2: Bedrohungskatalog für den Bereich WORM der Klasse MC jeweilig zugewiesenen, spezifischen Wahrscheinlichkeit. (Diese Werte lassen sich am Output Node TOTAL damage ablesen.) Um daraus Empfehlungen abzuleiten ist es zunächst notwendig, jenen Bereich zu identifizieren in welchem das größte Potential, bzw. der größte Handlungsbedarf liegt. Dazu werden die Werte des Output Nodes TO- TAL damage gemäß der angestrebten Risikovorstellungen des Unternehmens angepasst. (Das heißt die Zielvorstellungen werden am Output-Node als Ergebnis eingestellt.) Resultat der rekursiven Berechnung sind modifizierte Eintrittswahrscheinlichkeiten an den Input Nodes, welche durch eine geeignete Auswahl von Gegenmaßnahmen zu erreichen sind. (Die Umsetzung in der Hugin-Umgebung ermöglicht eine derartige rekursive Berechnung.) 80

94 6.1 Methodik P = Policy Prv = Private Key Re = Reinsurance Company Pub = Public Key 1st = Insurance Company Abbildung 6.16: Geschäftsprozess Webbased Underwriting (fiktiv) 81

95 6 Aspect-Oriented Risk-Driven Development (AORDD) Abbildung 6.17: (Fiktive) Sicherheitsarchitektur mit bedrohten Netzverbindungen Gegenmaßnahmen Um die Minderung der Eintrittswahrscheinlichkeit durch den Einsatz von Gegenmaßnahmen bestimmen zu können, ist auf einen unabhängigen Sicherheitsanbieter auszuweichen. Dieser hat optimalerweise mehrere Maßnahmen 82

96 6.1 Methodik detailliert analysiert 11 und kann so klare Werte für diese unabhängigen Wahrscheinlichkeiten liefern. Beispielsweise könnte für mehrere Virenscanner folgender statistischer Test durchgeführt werden, um so einen Vergleich auf Basis des Wertes VI- RUS incident(incident) zu ermöglichen: Eine Virenstatistik (mit Vorfallsdatum) wird mit den Pattern-Files (mit Erscheinungsdatum) des Scanners verglichen. Dabei wird die durchschnittliche Reaktionszeit des jeweiligen AV-Herstellers ermittelt. Dabei gilt: Je schneller eine relevante Reaktion vorliegt, desto niedriger ist das Risiko eines Virenvorfalles wenn der jeweilige Scanner eingesetzt wird. Sind die qualitativen Werte für alle Maßnahmen bestimmt, müssen noch deren Kosten ermittelt werden, was auf Basis der TCO-Methodik erfolgen kann. Ist dies geschehen, kann auf dieser Grundlage eine Investentscheidung gefällt werden. Mittels der AO-Systematik können nun die möglichen Maßnahmen, Einzeln oder in Kombination, in die bestehende Ordnung eingefügt und gegeneinander sowohl qualitativ als auch quantitativ verglichen werden Investitionsabwägung In der Praxis sollte dazu keine explizite RoSI - Berechnung, wie sie aus der ALE-Methodologie bekannt ist, aufgestellt werden, da nicht klar definiert wurde (und werden kann) welcher Return tatsächlich vorliegt. Dies ist in der methodischen Vorgehensweise begründet, die vorsieht eine Schadensklasse zu definieren anstatt eines bestimmten Schadens. Eine Investitionsabwägung kann jedoch trotzdem erfolgen, denn eine Maßnahme ist dann rentabel, wenn die Kosten deutlich kleiner sind als die untere Schadensgrenze und zugleich das qualitative Risiko signifikant gesenkt wird. Eine exakte Amortisationsrechnung ist damit nicht zu erstellen, dennoch können sowohl verschiedene Maßnahmen, als auch Kombinationen gegeneinander verglichen werden, indem die Risikosituation und Kosten der Maßnahmen(-kataloge) gegeneinander abgewogen werden. 11 beispielsweise im Rahmen eines HoneyNets 83

97 6 Aspect-Oriented Risk-Driven Development (AORDD) 6.2 Vor- und Nachteile In der vorhergehenden Methodenbeschreibung wurde schon auf die Vor- und Nachteile eingegangen. Sie sollen an dieser Stelle aber noch einmal kurz zusammengefasst werden. Die Vorteile liegen ganz eindeutig in der umfassend möglichen, bisher einzigartigen qualitativen Risikoanalyse. In den bisherig existierenden Modellen war es nicht möglich von einander abhängige Ereignisse derart detailliert zu betrachten und abzubilden. Dies wurde durch die Verwendung des aspektorientieren Frameworks ermöglicht, welches gewährleistet, dass sowohl zukünftige Änderungen der Gefährdungslage als auch neue Maßnahmen integriert werden können, ohne dass das Modell selbst angepasst werden muss. Zugleich kann jedoch ein hoher Detaillierungsgrad erhalten bleiben, welcher durch das BBN gewährleistet wird. Nur mit Hilfe eines BBNs ist es in einem allgemeinen Modell möglich, voneinander abhängige Ereignisse derart detailgetreu zu betrachten. Die Nachteile des Verfahrens liegen in der derzeit nur bedingt verfügbaren Datenbasis. Es ist noch nicht klar, ob alle Erwartungen an die Auswertung von HoneyNet- und IDS-Logdateien und an die anderen Datenquellen erfüllt werden können. Sollten jedoch alle notwendigen Daten ermittelbar sein, werden auch die notwendigen Wahrscheinlichkeitswerte aus dieser Basis zu extrahieren sein. Die größte Hürde stellt der Schritt von qualitativer Risiko- auf quantitative Schadensermittlung dar. Da dieser individuell festzulegen ist, ist er nicht standardisierbar. Zudem ist noch nicht klar, ob die dazu notwendigen finanziellen Daten exakt genug erfassbar sind. Die Behebung dieser Mängel ist mit erheblichem wissenschaftlichem Aufwand verbunden. Die Chancen auf eine detaillierte qualitative wie quantitatives Risikoanalyse rechtfertigen jedoch diese Mehrarbeit. 6.3 Beispiel: Intrusion Prevention System (IPS) Ein IPS ist ein System das Anomalien des Netzwerkverkehrs erkennt und entsprechend reagiert. Mit dieser automatisierten Vorgehensweise lassen sich sehr schnell eine Vielzahl von Angriffen, wie DOS- oder DDOS-Attacken, abwehren. Dazu identifiziert das System zunächst die verantwortliche Quelle um diese anschließend zu blockieren. Diese Sperre kann wiederum auf mehrere 84

98 6.3 Beispiel: Intrusion Prevention System (IPS) Arten errichtet werden, so kann beispielsweise die Ursprungs-IP-Adresse oder ein Port gesperrt werden. Diese Technik ist jedoch nicht nur dazu geeignet explizite Angriffe (Intrusions) abzuwehren, sondern ist auch in der Lage den Ausbruch eines Wurmes effektiv zu verhindern, wenn sich dieser über offene Ports in Kombination mit Lücken im Betriebssystem verbreitet (automatische Port-Sperrung). Prinzipiell fällt die Wurmabwehr in den Aufgabenbereich eines Virenscanners, doch hat die Vergangenheit 12 gezeigt, dass in manchen Fällen die AV-Hersteller nicht schnell genug reagieren können, um eine wirksame Abwehr zu gewährleisten. Daher soll im Folgendem erörtert werden, ob sich allein für diesen speziellen Fall eine Investition in ein IPS lohnt Qualitative Vorarbeiten Für dieses Beispiel wurden sowohl die bedingten, als auch die Eintrittswahrscheinlichkeiten derart gewählt, dass sie der Realität entsprechen könnten. Diese Annahmen gehen davon aus, dass ein Virenscanner installiert wurde, der den Ausbruch eines Wurmes (mit Ausbreitungsweg über offene Ports und Lücken im Betriebssystem) auf 20 % senkt 13. Die Eintrittswahrscheinlichkeiten der anderen Vorfallsarten 14 können der Tabelle 6.3 entnommen werden. Input Nodes Incident No Incident VIRUS incident 5.00 % % WORM incident % % DIAL incident 1.00 % % TROJ incident 3.00 % % Tabelle 6.3: Wahrscheinlichkeiten der MC-Input-Nodes für das IPS-Beispiel Im Beispiel wird desweiteren davon ausgegangen, dass 17% aller Würmer ein Risiko der Klasse Very Serious darstellen 15. Ein Wurm der höchsten Risikoklasse (Very Serious) richtet in 95% aller Fälle einen sehr hohen Schaden an, auch ein Wurm der zweiten Klasse (Serious) resultiert noch mit einer Wahrscheinlichkeit von 90% in einem hohen Schaden (Die gesamten Abhängigkeiten finden sich in Tabelle 6.4). 12 Sasser, Phatbot 13 Dies entspricht einem nicht erkannten Wurm in fünf Jahren. 14 Virus, Dialer und Tojaner 15 Serious beläuft sich auf 3% und Not Significant auf 80% 85

99 6 Aspect-Oriented Risk-Driven Development (AORDD) WORM risk Very Serious Serious Not Significant very serious damage % 5.00 % 0.00 % serious damage % 8.00 % 2.00 % not siginificant damage 0.00 % 5.00 % % Tabelle 6.4: Wahrscheinlichkeiten des MC-Node WORM damage für das IPS- Beispiel Schließlich ist noch festzulegen wie sich der gesamte MC-Schaden zusammensetzt. Im Beispiel wird vereinfachend davon ausgegangen, dass sich ein Wurm der Schadensklasse very serious damage mit einer Wahrscheinlichkeit von 100% auch im MC-Schaden in der höchsten Klasse wieder findet. Deshalb wurden die Werte so gewählt, dass bei jeder Kombination mit WORM damage = very serious damage die bedingte Wahrscheinlichkeit von MC damage(very serious damage) auf 100% gesetzt wurde. Die detaillierte Verteilungstabelle findet sich im Anhang (Tabelle D.1). Mit diesen Daten könnte nun bereits eine qualitative Analyse erfolgen. Im nächsten Schritt werden die quantitativen Grundlagen geschaffen, auf welchen eine Invest-Entscheidung fußen könnte Quantitative Vorarbeiten Zunächst sind vom Management die Schadensklassen mit quantitativen Grenzen zu versehen. Diese sollen für das Beispiel wie folgt gelten: very serious damage e % des IS-Budgets serious damage e e % des IS-Budgets not significant damage e 0 - e Portokasse Diese drei Bereiche repräsentieren nun den Knoten TOTAL damage. Die Übergänge der Teilschäden zum Output Node sind nun noch festzulegen. Da in diesem Beispiel nur die Schäden des MC-Subnetztes betrachtet werden, werden dessen Verbindungen isoliert betrachtet und angepasst, die der anderen Teilbereiche bleiben Außen vor. Aus diesem Grund wird die Verteilung von MC damage eins zu eins auf TOTAL damage übertragen. Der Übergang von 86

100 6.3 Beispiel: Intrusion Prevention System (IPS) qualitativem Teil- zu quantitativem Gesamtschaden erscheint nach folgender Worst-Case Berechnung berechtigt: Als Eckwerte des Gedankenexperimentes dienen die öffentlich zugänglichen Daten der Münchener Rückversicherung (Standort München). In diesem Bereich sind in etwa Mitarbeiter beschäftigt, folglich ist von etwa Workstations auszugehen. Hinzu kommen in etwa Notebooks, und 500 Server. Demnach ist von circa Rechnern auszugehen. Im Falle eines schweren Wurm-Vorfalles ist davon auszugehen, dass in die Hälfte aller Clients (3.500) und die Hälfte aller Server (250) durchschnittlich einen Arbeitstag (8h) ausfallen. Die anfallenden Kosten betragen bei den Clients e 500 und bei den Servern e 1000 pro Stunde. damit ergeben sich folgende, wurmbedingte Wiederherstellungskosten: W iederherstellung = (AnzahlClients ClientKosten + +AnzahlServer ServerKosten) Zeit = = (3.500 e500/h e1000/h) 8h = = e Hinzu kommen noch weitere Kosten, die durch den Ausfall dieser Systeme bedingt sind. Zur Verdeutlichung wurde der schon bekannte Geschäftsprozess Webbased Underwriting (siehe Abbildung 6.16) herangezogen, der den Vorgang des Policenabschlusses auf Webbasis zeigt. Die starke Abhängigkeit des Kernprozesses von der IT-Infrastruktur, der in diesem Beispiel 20% des Ertrages erwirtschaften soll, lässt sich deutlich aus der Aufteilung in Swimlanes erkennen. Auch wenn kurze Ausfallzeiten an dieser Stelle noch relativ unproblematisch sind, ist dieser Vorgang dennoch zeitkritisch, da die Erstversicherer verhältnismäßig zeitnah eine Abdeckung ihrer Policen benötigen. Daraus resultieren erhebliche Schäden durch Ausfall dieser Systeme, wenn dieser länger als einen Arbeitstag andauert. Die konkrete Bezifferung dieser Schäden in diesem Beispiel ist an folgende Werte gebunden: U msatz = e20mrd Ertrag = e2mrd Der Anteil der von diesem Gewinn durch das Webbased Underwriting erzeugt wird, soll (wie oben beschrieben) bei 20% liegen. Damit ergeben sich die Kosten für den Ausfall dieser Systeme pro Tag mit: 87

101 6 Aspect-Oriented Risk-Driven Development (AORDD) Ausfallkosten = = Ertrag Anteil = 365 e % 365 e damit ergibt sich ein maximaler Schaden im Worst-Case von Schaden = W iderherstellungskosten + Ausf allkosten e e = = e Einzuordnen ist dieser Schaden allein in die Very Serious Damage Klasse. Dies rechtfertigt die eins-zu-eins Übernahme der MC damage Aufteilung Auswertung Wird das BBN berechnet ergibt das Resultat, dass mit dem Eintritt eines Very Serious Schadens mit der Wahrscheinlichkeit von 19.60% zu rechnen ist. Da dem Management das Risiko einen derartigen Schaden tragen zu müssen zu hoch ist, sollen Gegenmaßnahmen eingeleitet werden. Um zu ermitteln, an welcher Stelle nun vorzugehen ist, wird wiederum das BBN herangezogen und die Wahrscheinlichkeit für die Schadensklasse not significant damage auf 100% gesetzt 16. Eine Analyse der dadurch veränderten Wahrscheinlichkeiten zeigt, dass der Eintritt eines Wurmes von 20% auf 1,08% gesenkt werden sollte um dieses Ziel zu erreichen 17 Eine der möglichen Alternativen um dies zu erreichen ist das oben beschriebene IPS. 16 Damit können die anderen beiden Fälle (very serious damage und serious damage) nicht mehr eintreten 17 Auch die anderen Werte sind zu verbessern, das größte Potential liegt jedoch in der Wurm- bekämpfung. 88

102 6.3 Beispiel: Intrusion Prevention System (IPS) Gegenmaßnahmen Angenommen es sollen 60 dieser Systeme angeschafft werden und deren strategisch günstige Positionierung, in der aus Kapitel bekannten Sicherheitsarchitektur (siehe Abbildung 6.18 und Abbildung 6.19) würde das Risiko auf unter 1% reduzieren, so wären die berechneten qualitativen Vorgaben erfüllt. Die Anschaffungskosten derartiger Systeme liegen bei e (für 60 Stk.), die verbundenen Betriebskosten pro Jahr bei e Somit lägen die jährlichen Kosten (eine lineare Abschreibung auf fünf Jahre vorausgesetzt) bei: Kosten/Jahr = Anschaffungskosten Abschreibungszeitraum + Betriebskosten = = e e = 5 = e Diese unterscheiden sich signifikant von der unteren Grenze der Schadensklasse da diese bei e liegt. Es erfolgt zudem eine erhebliche Senkung des Risikos von 20% auf unter 1%. Diese Punkte führen damit zu dem Schluss, dass diese Investition vor dem Hintergrund des Schadenspotentials für sinnvoll zu erachten ist. Auch kann diese Argumentation ebenfalls mit Hilfe einer rudimentären ALE-Berechnung belegt werden: Einsparungen = UntereGrenze (Risiko vorher Risiko nachher = = e (20% 1%) = = e RoSI = Einsparungen Kosten/Jahr = = e e = = e Folglich hätte die Anschaffung der Intrusion Prevention Systeme eine positive Auswirkung auf den Schaden der durch Malicious Code verursacht wird. Festzuhalten bleibt, dass eine derartige Maßnahme ebenfalls das Risiko des Intrusion-Bereichs positiv verändern würde, was wiederum das Schadenspotential dieses Bereiches senken würde. Diese Auswirkungen wurden in diesem Beispiel jedoch nicht betrachtet. 89

103 6 Aspect-Oriented Risk-Driven Development (AORDD) 6.4 Bewertung gemäß der Aufgabenstellung Die Beurteilung der Methodik findet sich ausführlich in der Modellbeschreibung, deshalb soll an dieser Stelle nur kurz auf die Bewertungskriterien (siehe Kapitel 1.2) eingegangen werden Ist eine Analyse der Sicherheit (bzw. der Gefährdung) IT-gestützter Betriebsabläufe möglich? Ausgehend von einer umfassenden Datenbasis ist eine qualitative Risikoanalyse in bisher ungekannter Detailgetreue möglich. Folglich ist auch eine Sicherheits- bzw. Gefährdungsanalyse möglich. Allerdings sind noch konzeptionelle Vorarbeiten auf Ebene der NPT durchzuführen Können IT-Risiken quantitativ bewertet werden? Aufbauend auf der qualitativen Risikoanalyse und weiteren zu ermittelnden finanziellen Daten ist ebenfalls eine quantitative Einschätzung möglich. Es ist jedoch zunächst notwendig, die finanziellen Zusammenhänge zwischen Risiken und Schäden zu ermitteln, welche nur in weiteren Grundsatzarbeiten erfasst werden können Ist das Verfahren für das IS-Management im Unternehmen durchführbar? Derzeit ist die Methodik für das IS-Management nicht praktikabel, da die Beschaffung der Ausgangswerte zur Füllung der NPT noch nicht geklärt ist. Die aktuelle Forschung hat sich dieses Sachverhalts jedoch angenommen (siehe [MEINIG:2005]). Daher ist damit zu rechnen, dass in absehbarer Zeit die qualitativen Grundlagen geschaffen werden. Die quantitativen Zusammenhänge existieren bereits für bestimmte Branchen, wie das Bankengewerbe. Allerdings scheint es so, als wären diese finanziellen Risikoabhängigkeiten für manche Bereiche schwerer zu ermitteln als für Andere. Eine Firma mit Produktion kann relativ leicht Schäden abschätzen 90

104 6.5 Zusammenfassung und Ausblick die entstehen, wenn ein Fließband still steht. Doch wie sieht es für eine Firma wie die Münchener Rückversicherung aus, deren Schäden sich mehr oder minder nur aus den schwer ermittelbaren Reputationskosten zusammensetzen? Aus diesem Grund erscheint es zur Zeit so, als könnte dieses Verfahren zukünftig für eine Branche wie das Bankengewerbe verwendbar sein und für andere nicht. 6.5 Zusammenfassung und Ausblick Die Methodik bietet die gesamte Bandbreite einer kompletten RoSI- Berechnung - so können sowohl Kennzahlen zur Investentscheidung auf Tool- und Projektebene erzeugt werden, als auch auf strategischer Ebene. Eine ständig wechselnde Umwelt wird ebenso berücksichtigt wie der Investitionswert des ersten im Vergleich zum zehnten Euro 18. Somit wäre diese Methodik das Maß der Dinge, wenn die qualitativen und quantitativen Grundlagen geschaffen werden könnten. Um diese bestimmen zu können, sind weitere wissenschaftliche Arbeiten notwendig, welche sich in zwei elementare Schritte gliedern. In der ersten Phase sollten die qualitativen Grundlagen geschaffen werden um das Verfahren als Risikoanalyseverfahren zum Einsatz zu bringen und etablieren zu können. In der zweiten Phase sollte seitens der Unternehmen, bzw. der Finanzwelt möglichst exakt abgeschätzt werden, welche Schäden aus welchen Risiken hervorgehen - was, wie schon erwähnt in manchen Branchen bereits geschehen ist. Dies und zukünftige, umzusetzende gesetzliche Vorgaben (Sarbanes Oxley Act, BASEL 2) machen es wahrscheinlich dass diese Zusammenhänge in naher Zukunft bekannt sein werden. Somit ergibt sich als Fazit: Können die Grundlagen geschaffen werden, steht mit der Methodik zukünftig ein umfassendes, qualitatives wie quantitatives Risiko- und Schadensanalysemodell zur Verfügung, welches sämtlichen Kriterien gerecht wird. Derzeit kann das Modell jedoch nicht zum Einsatz gebracht werden. 18 Es wird davon ausgegangen, dass eine Erstinvestition den größten qualitativen Schutz bietet, jede Nachfolgeinvestition bietet zunehmend weniger Schutz bei gleichzeitig steigenden Kosten. 91

105 6 Aspect-Oriented Risk-Driven Development (AORDD) Abbildung 6.18: Strategische Verteilung der IPS in der (fiktiven) Sicherheitsarchitektur 92

106 6.5 Zusammenfassung und Ausblick Abbildung 6.19: Strategische Verteilung der IPS in der (fiktiven) Sicherheitsarchitektur der Standorte 93

107 6 Aspect-Oriented Risk-Driven Development (AORDD) 94

108 7 Diskussion der Ergebnisse 7.1 Inhaltliche Ergebnisse Die bisher weitverbreitete Ansicht, der einzige Weg einer RoSI-Berechnung führt über die ALE-Methode wurde in dieser Arbeit widerlegt, da das Modell nicht unternehmensweit eingesetzt werden kann. Allerdings wurde auch gezeigt, dass eine Existenzberechtigung zur Tool- bzw. Projektentscheidung vorhanden ist. Die (starken) Einschränkungen dieser Ebenen erlauben es die zur Berechnung notwendigen Daten ausreichend genau zu ermitteln. Das zweite analysierte Verfahren, die Weiterentwicklung der IRS zur EIRS, ermöglicht es, nicht nur qualitative Analysen mit anschließender Soll-Ist Überprüfung durchzuführen, sondern auch einen quantitativen Abgleich auf dieser Basis vorzunehmen. Dies war mit keinem der anderen analysierten Modelle möglich. Dieser Fortschritt gegenüber dem ursprünglichen Modell basiert einzig und allein auf der methodischen Weiterentwicklung der IRS in Form der 100-x% Regel und der damit verbundenen Möglichkeit quantitative Aspekte mit einzubinden. Die Resultate dieses Modells liefern erstmalig Kennzahlen, welche eine Rechtfertigung des IS-Managements gegenüber der Geschäftsleitung ermöglichen, da ein tatsächlicher Nachweis erbracht werden kann, ob und wie die gesteckten qualitativen und quantitativen Ziele erreicht wurden. Dies hat zur Folge, dass Entscheidungen und deren Konsequenzen für die Führungsebene visualisiert und auch für Laien greifbar gemacht werden. Damit entsteht eine wesentlich stärkere Integration der Geschäftsführung - was seit langer Zeit gewünscht war. Die derzeitig implementierte Risikoanalyse des Verfahrens ist jedoch verbesserungswürdig, so sind beispielsweise Anpassungen an ISO17799, Cobit oder ähnliche Risk-Assessment Standards notwendig, um die Praktikabilität weiter zu erhöhen. Das letzte Modell, die AORDD-Methodik, bietet die Möglichkeit eine qualitative Risikoanalyse durchzuführen, welche einen derzeit nicht gekannten Detaillierungsgrad erlaubt. Dieser Fortschritt wurde durch die Neuentwicklung und 95

109 7 Diskussion der Ergebnisse -orientierung des BBNs erreicht, welche es erlaubt Abhängigkeiten von IS- Vorfällen wirklichkeitsgetreu abzubilden. Keines der anderen Verfahren bietet Ähnliches an. Auch die im Rahmen dieser Arbeit angesprochenen Risk-Assessments können eine derart hohe Qualität der Ergebnisse nicht vorweisen. Die quantitative Analyse-Einheit des Modells ist jedoch noch nicht sehr stark fortgeschritten. Weshalb an dieser Stelle noch einiges an wissenschaftlicher Arbeit geleistet werden muss. Die logische Konsequenz aus diesen Schlüssen ist, die verschiedenen Ansätze zu kombinieren, um so die jeweiligen Stärken zu übernehmen und die Schwächen zu eliminieren. 7.2 Zusammenführung der Ansätze Die Kombination der beiden Modelle EIRS und AORDD würde es erlauben, einen sehr starken qualitativen mit einem weit entwickelten quantitativen Teil zu verbinden. Die tatsächliche qualitative Risikosituation könnte, isoliert von der quantitativen Komponente, von Experten mit Hilfe der AORDD Methodik durchgeführt werden. Deren Ergebnisse würden dann an die EIRS weitergereicht, um dort mit Hilfe weiterer monetärer Aspekte quantitativ bewertet zu werden. Ein Ist-Soll Abgleich ist dabei wünschenswert, jedoch für die Funktionalität des kombinierten Modells nicht zwingend notwendig. Um diese Kombination zu ermöglichen, sind Anpassungen an beiden Modulen notwendig, welche vor allem die Schnittstellen betreffen. Da die Stärken kombiniert werden sollen, ist die (100-x)%-Regel und der integrierte Soll-Ist-Abgleich der EIRS mit der detaillierten qualitativen Riskoanalyse des AORDD Modells zu kombinieren. Dies könnte beispielsweise über eine Anpassung der EIRS- an die AORDD Teilbereiche erfolgen. So wäre es ohne Weiteres möglich, die Aufteilung der EIRS in die bisherigen fünf Risikobereiche zu verwerfen, um anschließend die Aufteilung des AORDD-Ansatzes zu übernehmen. Ist dieser Schritt gemacht kann das neue Gesamtmodell an die spezifischen Bedürfnisse des Unternehmens angepasst werden. Es ist beispielsweise denkbar, die Phase der qualitativen Risikoanalyse an bestehende Standards wie ISO17799 oder Cobit anzupassen. Mit diesem für alle Branchen praktikablen Ansatz wäre es möglich, strategische Entscheidungen auf einer fundierten Basis zu treffen. Wird der Ist-Soll 96

110 7.3 Fazit Abgleich übernommen, ist ebenfalls eine exakte Dokumentation der (nicht) erreichten Ziele möglich. Prinzipiell wäre eine Entscheidung auf Tool- bzw. Projektebene denkbar, allerdings existiert hierfür ein weit besserer, weil kompakterer Ansatz: das ALE-Modell. Wird dieses mit den selben Daten versorgt wie das BBN, so sind die Ergebnisse definitiv ausreichend exakt um eine Projektoder Toolentscheidung vornehmen zu können. Mit der Kombination aus den drei vorgestellten Modellen steht eine Methodik zur Verfügung, welche die gesamte Bandbreite des IS-Managements abdeckt. Es stehen sowohl Schnittstellen zur Management- als auch zur Projektebene zur Verfügung. Darüberhinaus wird die Möglichkeit geboten die einzelnen Prozesschritte zu trennen und von den jeweiligen Experten bewerten zu lassen, was zu einer bisher nicht gekannten qualitativen wie quantitativen Exaktheit und Qualität führt. 7.3 Fazit Ein endgültiger Abschluss ist mit dieser Arbeit nicht erfolgt, es wurden aber weit entwickelte Optionen aufgezeigt, welche für sich allein oder in der zuletzt angesprochenen Kombination durchaus das Potential haben, die RoSI- Diskussion zu revolutionieren. Das große Interesse an dieser Arbeit, bereits vor ihrer Fertigstellung, zeigt wie dringend eine universelle Methodik benötigt wird, um zukünftigen Entwicklungen, sowohl auf Finanz- als auch auf Risikoseite, sinnvoll begegnen zu können. Dieses Ziel konnte in Teilen bereits mit dieser Arbeit erreicht werden - so will beispielsweise die Münchener Rückversicherung eine Anpassung der EIRS an ihre Belange vornehmen. Die Veränderungen werden im Rahmen der Bereiche erfolgen, die in dieser Arbeit als Anpassungsraum vorgestellt wurden. Dazu zählen die Anzahl der Teilbereiche, die Festlegung von Schwerpunkten in diesen Sektionen, usw. Die eigentliche Methodik rund um den zentralen Bestandteil der (100-x)%-Regel bleibt jedoch erhalten. Auch der AORDD Gedanke wird weiter vorangetrieben. Michael Meinig will in seiner Diplomarbeit am Lehrstuhl für Software & Systems Engineering der TU München zeigen wie aus den Rohdaten eines HoneyNets und einem Geschäftsprozess ein individuelles BBN erzeugt und die Ausgangsdaten für die NPT extrahiert werden können. Damit wären die entscheiden Grundlagen geschaffen, um die erste Phase (qualitative Analyse) dieses Modells betreiben zu können. 97

111 7 Diskussion der Ergebnisse 98

112 A Ausgangssituation A.1 Durchschnittswerte Die Münchener Rückversicherung 1 passt zumeist nicht in vorgegebene Schemas, weshalb eine Angabe von Druchschnittswerten, wie sie hier für Ausfallzeiten aufgeführt werden, bislang nicht erfolgt ist. Industry Cost Range Per Hour Average Cost Per Hour Finance: Brokerage Operations $5.6 $7.3 Million $6.45 Million Finance: Credit Card Sales Authorization $2.2 $3.1 Million $2.6 Million Media: Pay Per View $67,000 $233,000 $150,000 Retail: Home Shopping/Catalog $87,000 $140,000 $113,000 Sales Communications: Internet Service $60,000 $120,000 $90,000 Provider (ISP) Transportation: Airline Reservations $67,000 $112,000 $89,500 Media: Telephone Ticket Sales $56,000 $82,000 $69,000 Transportation: Package Shipping $24,000 $32,000 $28,000 Finance: ATM Fees $12,000 $17,000 $14,500 Tabelle A.1: Durchschnittswerte für Ausfallzeiten [VISION:2001] A.2 Abbildungen von RAT Im Folgenden werden alle Abbildungen aufgeführt, auf welche der Text verweist. Diese beziehen sich auf ein einmalig und exemplarisch bearbeitetes RAT. Somit sind Schlußfolgerungen, welche aus diesen Testwerten gezogen werden hinfällig. 1 bzw. die Rückversicherungsbranche 99

113 A Ausgangssituation Abbildung A.1: RAT - Impact Assessment (Teil des Prozessschrittes Identify Information Assets and Impact) Abbildung A.2: RAT - Impact Assessment (Teil der Prozessschritte Assess Threat und Assess Vulunerability) 100

114 A.2 Abbildungen von RAT Abbildung A.3: RAT - Control Selection (Teil der Prozessschritte Assess Threat und Select Controls) 101

115 A Ausgangssituation 102

116 B ALE Im Folgenden wird eine prototypenhafte Verwirklichung des ALE-Ansatzes gezeigt, welche einmalig und exemplarisch bearbeitet wurde. Schlußfolgerungen die aus diesen realitätsnahen Testwerten gezogen werden, sind damit hinfällig. 103

117 B ALE Abbildung B.1: Prototypenhafte Umsetzung des ALE-Modells mit Rahmen- Methode 104

118 C EIRS C.1 Aspekte des Teilbereichs Control Weakness 1. Policies and Standards 2. Ownership 3. Organisation 4. Risk Identification 5. Awareness 6. Service Agreements 7. User Capabilities 8. IT capabilities 9. System Configuration 10. Databackup 11. Contingency Arrangements 12. Physical Security 13. Access to Information 14. Change Management 15. Problem Management 16. Special Controls 17. Audit/Review 105

119 C EIRS C.2 Abbildungen der prototypenhaft entwickelten EIRS Im Folgenden werden alle Abbildungen aufgeführt, auf welche der Text verweist. Diese beziehen sich auf eine einmalig und exemplarisch ausgefüllte EIRS. Somit sind Schlußfolgerungen, welche aus diesen Testwerten gezogen werden hinfällig. 106

120 C.2 Abbildungen der prototypenhaft entwickelten EIRS Abbildung C.1: Einbettung der EIRS in ein prozessorientiertes Vorgehen 107

121 C EIRS Abbildung C.2: General-Bereich der EIRS 108

122 C.2 Abbildungen der prototypenhaft entwickelten EIRS Abbildung C.3: Management-Bereich der EIRS 109

123 C EIRS Abbildung C.4: Status of Arrangements-Bereich der EIRS 110

124 C.2 Abbildungen der prototypenhaft entwickelten EIRS Abbildung C.5: Strengthening Controls-Bereich der EIRS 111

125 C EIRS Abbildung C.6: Special Circumstances-Bereich der EIRS 112

126 C.2 Abbildungen der prototypenhaft entwickelten EIRS Abbildung C.7: Business Impact-Bereich der EIRS 113

127 C EIRS Abbildung C.8: Level of Threat-Bereich der EIRS 114

128 C.2 Abbildungen der prototypenhaft entwickelten EIRS Abbildung C.9: Criticality-Bereich der EIRS 115

129 C EIRS Abbildung C.10: Qualitative IRS-Bereich der EIRS 116

130 C.2 Abbildungen der prototypenhaft entwickelten EIRS Abbildung C.11: Qualitative Summary & Hints-Bereich der EIRS 117

131 C EIRS Abbildung C.12: Quantitative IRS-Bereich der EIRS 118

132 C.2 Abbildungen der prototypenhaft entwickelten EIRS Abbildung C.13: Quantitative Summary & Hints-Bereich der EIRS 119

133 C EIRS Abbildung C.14: Extended IRS-Bereich der EIRS 120